PR
図1 少しの工夫では見つけられてしまう
図1 少しの工夫では見つけられてしまう
[画像のクリックで拡大表示]
図2 読めない形式にして送ってチェックをくぐり抜ける(イラスト:なかがわ みさこ)
図2 読めない形式にして送ってチェックをくぐり抜ける(イラスト:なかがわ みさこ)
[画像のクリックで拡大表示]

 PDFスパムとは,読ませたい内容をPDF(portable document format)という形式にした迷惑メールである。PDFは米アドビ・システムズが決めた文書交換用の形式。迷惑メール対策ソフトのチェックをくぐり抜けるために,対策ソフトが対応していないPDF形式にして送りつけてくるのだ。

 PDFスパムが登場した背景には,従来の形式の迷惑メールでは受信側のユーザーの目に触れにくくなっているという事情がある。

 迷惑メールの送信業者は,なるべくたくさんのインターネット・ユーザーに読ませたいと考えている。このためもともと迷惑メールは,誰でも読めるように内容をテキストにして本文に書き込んだ,単純な形式で送っていた。ユーザーがメールを開いただけで表示されるので,ユーザーが内容まで読む可能性が高いからだ。

 しかし,迷惑メールが増え,ユーザー側で迷惑メールを除去する対策が普及したために事情が変わってきた。対策ソフトが見つけた迷惑メールはユーザーの目に触れることはない。そこで送信業者が迷惑メールを作るときの重点が,届いたときにユーザーがすぐ内容に目をやることから,対策ソフトのチェックをすり抜けることに移ってきた。

 その第一弾として迷惑メール送信業者は,読んでもらいたい内容を画像データとして添付して送る手を使い始めた。これが「画像スパム」だ。受け取ったユーザーが添付ファイルを開く必要があるが,画像の中身をチェックするのは難しかったからである。一時は,迷惑メール全体のうち画像スパムの割合が10パーセントを超えていたという。

 ただ,画像スパムが増えるにつれて,迷惑メール対策ソフトの対応も進んだ。画像のパターンを判別したりして,迷惑メールを判定するようになってきた。送信業者にとってみれば,ちょっと工夫したぐらいでは,対策ソフトにチェックされ,読んでもらいたいユーザーに届かなくなってしまったわけである(図1)。

 そこで登場したのがPDFスパムだ。PDFはさまざまな形式の文書をデータにして送るときに広く使われている形式で,多くのパソコンではAdobe Readerというソフトを使ってPDF文書を開けるようになっている。一方,PDFスパムが登場する前の迷惑メール対策ソフトは,PDF文書を解析する機能を備えていなかった。つまり,読ませたい中身をPDF文書にして添付したPDFスパムは,中身が検証されることなくユーザーの手元に届く。しかもPDFであればユーザーが開いてしまう可能性も高いというわけだ(図2)。

 2007年6月から8月にかけて流行したPDFスパムのほとんどは,本文のテキストがいっさいなく,添付しているPDF文書の中身もテキスト・データではなく,文字を画像データとして表現したものだった。こうすれば,本文だけでは判別できず,しかもPDFの中身のデータを調べられても,迷惑メールであることはわかりづらくなる。迷惑メール対策ソフトに対して,いわば先手を打っていたわけだ。

 セキュリティ・ベンダーの英ソフォスが収集した迷惑メールの統計調査によると,このようなPDFスパムは,爆発的に流行し,最初に話題になった2007年6月から2カ月しか経っていない2007年8月上旬には全迷惑メールの3割を占めていた。一方,PDFスパムの急増を受けて,迷惑メール対策ソフトの対応も進んだ。PDF文書の属性情報を読んだり,PDF文書を開いたりして迷惑メールかどうかを判定するものが登場している。

 ところが,対策ソフトの対応が進んだ8月下旬には,PDFスパムはほとんどゼロになってしまった。流行は2カ月程度の短い時間だったようだ。迷惑メール送信業者は,ユーザー側の対策が進むことを見越してPDFスパムのばらまきを短期間にとどめた可能性がある。

 ただし,PDFスパムの流行が去ったからといって安心はしていられない。PDFスパムの代わりに,Excel文書として迷惑メールを送る「Excelスパム」や,圧縮ファイルにした「ZIPスパム」が登場している。対策ソフトが直接読めないアプリケーションを使って迷惑メールをばらまくという意味では,PDFスパムの「親類」とも言えるのだ。