実は2日に、当ブログのサイドバーに置いてあるメールフォームから、これまでに見たことのないようなメールが送信されてきていた。「URL踏んだらお陀仏」という雰囲気がかもしだされているメールだ。それについて少しだけ書いてTwitterに投げたのだが、ウイルス、マルウェア、ランサムウェアやサイバー詐欺などいろいろと騒がしいようなので、その「メールフォームからの謎の投稿」についてここにエントリを立てておこうと思う。
まず、当ブログのメールフォームは、右記のようになっている(画像はクリックで原寸表示)。まだブログを使うようになる前、HTMLを手打ちしてサイトを作成していたころの2004年に使い始めた無料レンタルのメールフォームである(これを使うようになる前にも、これとは別のメールフォームを使っていたと思う)。
配色は当時のサイトの基本色で、画面の横幅が800ピクセルという、今から見れば狭い画面(当時のデフォ)を前提として作ってあり、今見ると色のバランスの問題で目がチカチカするかもしれない。気が向いたら直そうと思って数年経過している(すいません)。なお、投稿フォームに到達する前に長々と注意書きが続いているのは、そうする必要があったからである(HTMLでサイトを作っていたころは、「あなた、英国に詳しくて、英語ができるんですね」的な問い合わせがとても多かったので……「お勧めの観光スポットは」みたいなものから、「オーストラリアのワーキングホリデー制度のことを調べているのだが」、「英国のショップの個人輸入のやり方について」、「旅行保険の請求手続きについて教えてほしい」みたいなものまで)。
……と、そんなことは今回、どうでもよくて、見ていただきたいのは、このメールフォームは日本語話者が使うことを前提として作ってある、ということだ。
しかしながら、こんなフォームでも、機械 (bot) がフォームに書き込んで送信するだけなら日本語なんか読めなくたって平気だ。
この部分、ソースは下記のように、基本的には英語になっている。
こういうソースなら、誰か人間がbotを作って、それに自動投稿をやらせることは難しくない。〈input name='foobar'〉 のところだけを見て(読み取って)、書きたいことを適切な場所に書くようにすればよい。そもそもこのようなメールフォームの形式(名前を書いて、メアドを書いて、サイトURLを書いて、メッセージ本文を書くという形式)は、全世界的に共通なので、人間が目視してスパム投稿を行なうこともさほど難しくはないのだが、botを使えばもっと簡単に、効率的にできる。
今回このフォームから私のところに送信されていたのは、下記のメッセージである(キャプチャ画像は、誰かが好奇心でスパマーのサイトを見に行っちゃったりすることを抑止するため、一部を加工してある)。ピンク色の下線をほどこしたところは文字化けだ。(このメールフォームから、通常、こんなふうに文字化けしたメッセージが送られてくることはないので、それだけでも「怪しい」と思えるのだが、「文字化け」という現象が発生し得ないラテン文字の言語圏のフォームを使っていたら、そういう防護壁みたいなのもないわけだ。つくづく、日本語というマイナー言語はその言語自体が壁として機能しうるものだと思う。そういえば、掲示板やブログのコメント欄では、「日本語の文字が入っていないコメントは自動的にはじく」という設定もよく見かけたよね。私の場合、サイトの掲示板を運営していたころは「日本国外のネットカフェからのカキコミのため、日本語の文字が使えず、ローマ字で投稿する」というユーザーさんもいる可能性が高かったし、そういう排他的なフィルタリングはしていなかったけれど。)
ともあれ、このメッセージはURLをクリックさせることが目的のように見える。「見て、このサイトすごいよ」的な一言もなく、3phwFAという謎の文字列に続けて単にURLを書いてあるだけというこんな雑なメッセージでその目的が達せられるのかどうかはわからないが。
いずれにせよ、謎で不気味な文字化けメールを受け取って、気分はよくない。とりあえずこういうときは、投稿者名および/またはメールアドレスでウェブ検索してみるに限る。普通にGoogleに投げるだけ。
すると……
私のブログの問い合わせ用メールフォーム(日本語表記)に、日本語が文字化けした状態でURLだけを貼った投稿がありました。1/2
— nofrills/新着更新通知・RTのみ (@nofrills) January 3, 2017
そういう怪しい連絡のURLをクリックしちゃうほど疲れても眠くもなかったのが幸いだったんですが、投稿主のメアドで検索したら https://t.co/bvcFzvyr0L こんなのが出てきました。皆様、ご注意ください。ブログのコメント欄じゃなくても日本語圏でも来てますから。 2/2
— nofrills/新着更新通知・RTのみ (@nofrills) January 3, 2017
メールアドレスでググった結果見つけたこのStop Forum Spam(ネット上の掲示板へのスパム投稿に関する情報共有を目的とするサイト)の検索結果には、私のところへの文字化けフォーム投稿メールと同じ "Barnypok" という「名前」と、私のところへの文字化けフォーム投稿メールの送信に使われたのと同じIPアドレスが表示されていて、そのIPアドレスのところには 'Toxic IP address or "bad" email domain' を表すマーク(バイオハザードのマーク)が添えられていた。発信地はロシア(個別にそのIPアドレスをwhoisで調べても確認できるので、ここで書いていることが信じられないという方がいらしたら、ご自身でご確認を)。
Stop Forum Spamのページは、時間が経過すると書き換わってしまう(更新される)のだが、今これを書いている時点でのアーカイヴが下記(私が見た時点のものはアーカイヴしておかなかった)。同じメールアドレス(フリーメール)で、ロシアからとフランスからの2パターンあり、ロシアの方は 'Toxic IP address' としてマークされている。
https://archive.is/YfzYc
このIPアドレスでググると、スパマーのIPアドレスを記録しているProject Honey Potのページが見つかった。ここに、私に送られてきたのと同じURLが記載されていることも確認できた。
ここのコメント欄に "Seems to post links to pharma spam pages on hacked web sites" という情報(2015年5月)があるのだが、pharma spamなんて今もまだあるのか……ニセもののプロザックとかニセもののバイアグラとか。(薬のニセものは、単に「ニセもの」というだけでなく、健康・生命に危険を及ぼす可能性があるので、絶対に買ってはなりません。その錠剤の中身が何なのか、見てもわからないわけで。)「10年前かよ」感に包まれるような話だ。
そして当該のURLでググると、これが書き込まれているウェブページがどっさり見つかる。
中に1件、日本語のウェブページがある。幼稚園のサイトで、編集モードが公開状態になっていたところを、このスパマーにやられたようだ。現在はもう修復されているようだが、Googleキャッシュに被害状況が生々しく残っている。これも「謎の文字列」に続けて、当該のURLが投稿されている。URLだけでは投稿がはじかれるように設定されているフォーラムやブログのコメント欄でも書き込めるように、ランダムな文字列を入れているのだろう。それにしてもずいぶんcrudeだが……。
そしてこの書き込みっぷり。この例からも、このスパマー(スパムボット)が投稿フォームに対して無差別的に投稿しまくっているのだろうということがわかる。
なお、私に送られてきた文字化けメールで「URL」のところに表示されていた "2rand[0,1,1]" なる謎の文字列についてもウェブ検索を試みたところ、多くの人が「なんぞこれ」ということで調べていることが、Googleのサジェストで確認できた(右図)。検索結果の1ページ目だけでも、この謎の文字列をURL欄に投げ込んでいくスパムbotが、2009年には既に活動していたことがわかる。
という次第で、ずいぶんと古いパターンのスパムbotが今も動いていて(書き込みのパターンが古いだけで、貼られているURLには最新のマルウェアがあるのかもしれないが)、私がお借りしている無料レンタルのメールフォームにまでやってきているということが確認できた。実に、「ドッグイヤー」と呼ばれるほど時間の流れが速いtech系の世界でありながら、ネットでは「そんな古いものが今もまだあるなんて」と思うことがわりとよくある。リアル世界ならば、例えば「花柄の魔法瓶なんて、今どき家庭では見ないですよねー」という感覚に近いくらいのことが。
今朝方、Yahoo! Japanのニュースで見かけた「ナイジェリア詐欺団」(産経新聞の記事)も、「えっ、今どき、419詐欺っすか?」と思ってしまいはしたが、「古い」ということを除外すれば、確かに「419詐欺」のフォーマット(「あなたを見込んでお願い申し上げる」と言って接触してくる)はSNSにとてもよくマッチするし、「古い」からといって「すたれていて当然」ではないのだ。
ナイジェリア詐欺団、強固な組織で世界で暗躍 中国人とノウハウ共有
産経新聞 1/5(木) 7:55配信
http://headlines.yahoo.co.jp/hl?a=20170105-00000065-san-soci
中国人とナイジェリア人による混成詐欺団の実態が4日、明らかになった。ナイジェリア人犯罪組織は世界で暗躍しており、国内でも偽造カードを使った詐欺事件やマネーロンダリング(資金洗浄)事件が相次ぐ。一方、中国人が絡む偽造カードを使ったたばこの詐取事件は関東周辺で続発。互いの犯罪ノウハウを共有し、両者は日本の闇社会で手を結んでいた。
※正直、この記事読んでも「中国人とナイジェリア人」に限定して語る理由がよくわかんなかったです。記事自体に "「マイク」と名乗る男はナイジェリア、マレーシア、南アフリカに40人以上の犯罪グループを従えて現金をだまし取り、中国、欧州、米国の協力者を使って資金洗浄も行っていた" という記述もあるんだけど……。「意外にもナイジェリアの犯罪組織は日本でも活動している」という話なら、「よくわからん」という感想をもつこともなかっただろうに。とか書いてると「サヨクがー」とか言われるんだろうな。
※この記事は
2017年01月05日
にアップロードしました。
1年も経ったころには、書いた本人の記憶から消えているかもしれません。
【雑多にの最新記事】
- Twitterを「鍵アカ」にすると、「《検索したい語句》from:アカウント名」..
- "整理" されてしまった「翻訳・通訳のトビラ」の中身を、Web Archiveで..
- 美しかった。ひたすらに。
- はてなブックマークでわけのわからないスターがつけられている場合、相手はスパマーか..
- 虚構新聞さんの "バンクシー?の「『バンクシー?のネズミの絵』見物客の絵」に見物..
- 当ブログがはてなブックマークでどうブクマされているかを追跡しなくなった理由(正確..
- 東京では、まだ桜が咲いている。
- あれから1年(骨折記)
- Google+終了の件: 問題は「サービス終了」だけではなく「不都合な事実の隠蔽..
- 当ブログに入れている広告を少し整理しました。