PR
Googleが表示する「リダイレクトの警告」の画面例
Googleが表示する「リダイレクトの警告」の画面例
[画像のクリックで拡大表示]

 セキュリティ組織の米SANS Instituteは2007年9月21日、同組織のスタッフによる公式ブログにおいて、新しいタイプの迷惑メール(スパム)を報告した。検索サイト「Google」の「I'm Feeling Lucky」機能を悪用することで、迷惑メール対策ソフト(迷惑メールフィルター)を回避しようとする。

 迷惑メールの本文には、特定の商品やサービスの宣伝文句と、それらの販売サイトへのリンク(URL)が記載されていることが多い。そこで迷惑メール対策ソフトの多くは、メール中に書かれたリンクを、迷惑メールかどうかの判断材料の一つにする。

 このため、メール中のリンクを偽装する迷惑メールが増えている。偽装方法の一つが、検索サイトのリダイレクト機能を悪用すること。例えば、Googleが提供するリダイレクト機能を使えば、特定のWebサイトに誘導するリンクを、「http://www.google.com/」から始まる文字列にできる。SANS Instituteの「Internet Storm Center(http://isc.sans.org)」へ誘導するリンクは、以下のようになる。

http://www.google.com/url?sa=U&start=4&q=http://isc.sans.org

 ただし現在では、この偽装方法はほとんど通用しないという。迷惑メールフィルターの多くが対応しているからだ。リンク中の「http://www.google.com/url?」といった文字列からリダイレクト機能を使っていることを見抜き、実際の飛び先のURLを抽出して判断するようになっているという。

 また、検索サイト側でも対応が進んでいる。例えばGoogleでは、リダイレクトする前に、「リダイレクトの警告」を表示する(図)。

 そこで迷惑メール送信者(スパマー)は、検索サイトの別の悪用方法を編み出した。それが今回報告された、Googleの「I'm Feeling Lucky」の悪用。「I'm Feeling Lucky」とは、検索結果のトップになったWebサイトを直接表示させる機能。通常の検索とは異なり、検索結果の一覧は表示しない。

 「I'm Feeling Lucky」を使った迷惑メールの具体例は以下のとおり。

Order All of your favorite RxMeDs Online!
With fast discreet trackable USPS shipping!
No Prescription Needed!

Order__NoW ~ <a href="http://www.google.com/search?
q=myvisameds+global+cart&btnI=ec">Click__Here</a><br>

 上記メール中の以下の部分が、「I'm Feeling Lucky」を使ったリンクである。

http://www.google.com/search?q=myvisameds+global+cart&btnI=ec

 Googleのリダイレクト機能ではなく、検索機能(http://www.google.com/search?)を使っている。上のURLのリンクをクリックすると、「myvisameds」「global」「cart」で検索した結果のトップに表示されたWebサイトへアクセスすることになる。リダイレクトではないので、図のような警告は表示されない。

 上の例では、Internet Storm Centerのページが表示される(9月21日17時現在)。上記のキーワードの代わりに、商品やサービスの販売ページが一番最初に表示されるようなキーワードを使えば、そのページにユーザーを誘導することができる。キーワードはどのようなものでもよく、いくつ組み合わせても構わないので、「誘導したいページが一番最初に表示されるようなキーワード」を見つけることはそれほど難しくないだろうという。

 上記のURLでは「btnI=ec」という引数を付けて「I'm Feeling Lucky」を使っているが、この方法以外にも「I'm Feeling Lucky」を使う方法がある。このため、「btnI=ec」の有無だけから、メール中のURLが「I'm Feeling Lucky」を使っているどうかは判断できないという。SAN Instituteのスタッフは、今回の手口を見抜く良い方法(ルール)があれば教えてほしいと結んでいる。