今月(2018年10月)25日あたりから、当店の知り得る範囲の複数のウェブサイトで、お問い合わせフォームに謎の送信データが届き始めました。
「ゼヒトモ 田中」を名乗り、マッチングサイト「Zehitomo」 からの送信であると主張するものです。
「Zehitomo」に掲載されているような、プロフェッショナルサービスを提供する多数の業種で、このウェブフォームスパムが観測されています。
無差別に多数送り付けられており、受信した方からは一様に「迷惑だからやめてほしい」との声があがっています。
今回、この悪質なスパムが、いったい何者の手によるものか、100%の確認はとれませんでした。
しかし、迷惑行為が多業種にわたっており、看過できないレベルに達していることから、ブログへの掲載に踏み切りました。
【UPDATE】2018.12.20
本記事のPV数が伸びなくなったため、記事中にあるウェブフォームスパムに関してはいったん沈静化したものと思われます。しかし、相変わらず「info@zehitomo.com」から送信される迷惑メールなどの送信は続いています。このメールに関しては、zehitomo.comのドメインを使用していることから、ゼヒトモが直接送信しているものだと判断しています。
また、相当長期にわたり、起きている事態へのコメントが公式サイトに掲載されず、この件について沈黙を守っていることから、ウェブフォームへの攻撃そのものも、ゼヒトモ本体が実行した事案である可能性が高いと判断されます。
迷惑メールに困っている方は、当該メールを下のメールアドレスまで転送されますと、簡易に通報できます。
迷惑メール通報センター meiwaku@dekyo.or.jp
※相談窓口ではありません。実際の迷惑メールを転送する専用のアドレスです。詳しくは次のページをごらんください。
「ゼヒトモ 田中」を名乗るスパムの内容
このウェブフォームスパムは、次のような内容を送信してくることが特徴です。
送信内容
氏名:ゼヒトモ田中
ふりがな:ぜひとも たなか
メールアドレス:<4文字>@zehitomo.com または <4文字>+(数字)@zehitomo.com
電話番号: <電話番号>
住所:(株式会社ゼヒトモの実際の住所と同じもの)※一部、場合により罪のない方に悪影響が及ぶ可能性があることから、掲載を控えております。
「お問い合わせ内容」には次のように入力されています。
中小事業者の皆さまに案件を紹介するサービスを展開しているZehitomo と申します。
以下の依頼が届いており、受託頂ける事業者さまを探しております。
依頼日: <日付らしきもの>
依頼者: <名字らしきもの>
住所: <住所らしきもの>
・・・<業種によりさまざまな希望内容らしきもの>・・・
https://bit.ly/<不規則な文字列> にアクセスし、登録をすると上のような案件をご覧頂けます。
(受付制限時間を超えた場合ご覧いただけません)
※こちらはZehitomo より自動送信された連絡です。
自動送信を止める場合は http://bit.ly/unsubscribe-form より配信停止処理をしてください。
問い合わせフォームに堂々と「自動送信された連絡」と書いてくるとは……
このスパムが特にひどいのは、お問い合わせフォームの送信内容に堂々と「Zehitomoより自動送信された連絡」と書いている点です。
問い合わせフォームは常に「ボット」による攻撃にさらされており、自動送信によるスパムから防御するため、さまざまな工夫をこらします。
今回被害にあったサイトの中にも、ボットによる自動送信防止のため「reCaptcha」をつけているサイトがあります。
そのお問い合わせフォームに、堂々と「Zehitomoから自動送信された連絡」と書ける神経は、明らかにまともではありません。Zehitomoに登録するような信頼できる「プロフェッショナル」であれば、当然持ち合わせているべきインターネット上の最低限の規律を逸脱しています。
このような観点から、当記事では、この「ゼヒトモ 田中」の一件を、単なる迷惑メッセージとしてではなく、「悪質スパム」として取り扱います。行われた行為も、単なる迷惑行為ではなく「問い合わせフォームへの攻撃」として取り扱います。
リンク先はZehitomoのトラッキング付きアドレス
最初に出てくる「https://bit.ly—–」で示される短縮アドレスをクリックすると、次のようなアドレスに飛びます。
「https://www.zehitomo.com/pro?utm_medium=email&utm_source=manual&utm_campaign=[Google AnalyticsのキャンペーンIDらしきもの。地域名入り]」
(「utm_source=manual」というあたり、「自動送信」といいながら実際は手動送信なのかもしれないですね。)
「配信停止処理」はなぜかGoogleフォーム
そして、「配信停止処理」のアドレスとして掲載されている短縮URL「
http://bit.ly/unsubscribe-form」は、次のURLにジャンプします。
「https://docs.google.com/forms/d/e/1FAIpQLSdAxuoCzQ7xAhR35FTcgiCOVXIZMnlsmnBWzvOI313WDFRraw/viewform」
これは、無料の「Google フォーム」を利用した入力フォームです。この画面には、一切「Zehitomo」などとは書かれていません。いったい、このフォームで本当に「配信」が止まるのかどうか、非常にあやしいと感じざるを得ません。
「ゼヒトモ 田中」スパムの挙動
私どもが把握できたのは10月末ごろからです。Twitterなどを見ますと、もう少し前から攻撃は始まっていたようです。
日によって、一日一回だったり、一日3回だったりしますが、毎回ほぼ同じ体裁で、「案件」のようなものを送り付けてきます。
しかし、具体的に「この案件をお願いしたい」ということではなく、あくまで「Zehitomoに会員登録させる」ことが目的だ、という体裁になっています。
使用されている送信元IPアドレスとホスト名を列挙します。
コメント欄に情報を寄せて下さった方、ありがとうございます。あわせてこちらに集約しております。
- 121.105.133.169 / KD121105133169.ppp-bb.dion.ne.jp
- 114.186.140.11 / i114-186-140-11.s41.a011.ap.plala.or.jp
- 220.209.91.176 / ntkngw940176.kngw.nt.ngn.ppp.infoweb.ne.jp
- 103.**.**.** (**は都度変わる) / 103-**-**-**.pacswitch.com
いくつもプロバイダを契約して使い分けているように見えます。あるいは、個人の自宅の回線を使っているのかもしれません。
また、変化しているアドレスは、無線によるインターネット接続を使用していると推測されます。
「ゼヒトモ 田中」スパムは誰が送信しているのか
ひとつの問題は、「ゼヒトモ田中」スパムを誰が送信しているのか?ということです。
送信元IPアドレスは、インターネット接続業者のアドレスのようですので、ここからは発信元を特定できませんでした。ただし、海外ではなく国内のようです。
果たして発信元は誰なのでしょうか?
Zehitomoみずから手をくだした可能性が高い
現時点で、残念ながら発信元は100%特定できてはいません。
送られてきているデータやトラフィックからは、残念ながら、Zehitomo様自身が送信している可能性を完全に否定できる状況にない、ということです。
Zehitomoは、その「利用規約」の中で次のように明記されています。
コンテンツ、メッセージ及びサービスにおける禁止事項
あなたのプロフィール、あなたサービスの投稿、あなたが望むサービスの投稿、あるいは本ウェブサイトや本サービス、本ユーザーとの関係での見解やレビューなど、テキスト、画像、動画、音声、データ、情報又はソフトウェアを含めたコンテンツ(総称して、「提示コンテンツ」といいます)で、Zehitomoがその単独裁量により、以下の行為に該当すると判断するものを、本ウェブサイトの全部又は一部に対してアップロード、投稿、送信、転送、発信、配信・配布、あるいはそれらの配信・配布の便宜を図る行為に及んではなりません:
・・・(略)・・・
誰かのプライバシーに関して、その本人による関知及び積極的な承諾なしにそれらの者の情報を取得、収集又は別途利用するか発表しようとして侵害するもの
・・・(略)・・・
いかなる理由であれ、個人や個人の集団を脅迫する、それらの者につきまとう、それらの者を中傷する、それらの者から詐取する、それらの者をおとしめる、それらの者を迫害する、それらの者を威嚇する、あるいはそのような行為に及ぶよう他者を誘引するか促す意図があるもの;
・・・(略)・・・
「ジャンクメール」、「スパム」、「チェーンメール」、「ピラミッドスキーム」、「アフィリエイトマーケティング」、又は求められていない商用宣伝を含むかそれらとみなされ得るもの;
これは、Zehitomoサイト内における規約ですが、このような規約を掲げるサイト様が、サイト外の私どもに対して、
- 本人の許諾なく住所や名字・依頼内容などを明かすようなメッセージを送信すること
- 当該事業の依頼なく一方的に情報を送り付け「つきまとう」ような行為
- お問い合わせフォームに対する明らかな「スパム」行為
- 求められていない商用宣伝を含む内容をフォームから送信する行為
を働くようなことは、絶対にあってはならないはずです。
直接手を下されていないのでしたら、一番の被害者はZehitomoだということになるのですが、
これほど広範囲に、Zehitomoの名称を使用し、またHPに直接リンクする形でのスパムが流布しているわけですので、もし直接手を下されていないのでしたら、ぜひHPでの被害状況の公開と、事実確認があってしかるべきです。
しかし現時点(2018/12/20)で、
の両ページを確認しましたが、見つけることができていません。
2ヶ月ちかく事態を放置され、沈黙を守られていること、また同様の内容の迷惑メールが「zehitomo.com」ドメインから送信されていることを総合すると、ゼヒトモ自身がが直接私どものウェブフォームを攻撃した事案である、という可能性が高いと判断されます。
「ゼヒトモ 田中」スパムをどうやって止めるか
さて、出所はともかく、現実に日々の業務に支障をきたす「ゼヒトモ 田中」スパムをどうやって止めるのか、という話です。
「配信停止」フォームは意味があるのか?
「配信停止」のフォームから申請してみた方から聞きますと、
「フォームから配信停止を送信しても、やっぱり送ってくる」
とのことでした。
この種の「配信停止」手続きは、世にはびこる迷惑メールの多くで、メール末尾に付けられています。現在は、このような配信停止手続きが明記されていないメールは即違法ですので、当然なのですが、
経験上、この「配信停止」手続きは、ほとんど効果がありません。
実際に配信をやめるかどうかは、配信元の胸先三寸だということになります。
筆者の見解としては、できるだけこのような「配信停止フォーム」に頼らない対策方法を考えるべきだ、と考えています。
なぜなら、配信停止フォームを利用することそのものが、「自分は間違いなく受信した」という情報を、相手に与えてしまうものだからです。
そのような情報を与えるならば、その迷惑メールやスパム自身は止まっても、「このページは間違いなくこの方法で送信できている」と相手に確信させ、
次に「ちょっと違う方法」での送信をしてみよう、と思わせてしまうからです。
そのような、頼みもしないのに果てしなくスパムを送り付けてくる者に対して、毎回「送信をやめてください」とお願いし続けるのは、スパム業者の「思うつぼ」だという気がするのです。
「配信停止フォーム」に頼らない対策とは
では、「配信停止フォーム」に頼らない対策とは、どんな方法があるでしょうか?
- 特定のIPアドレスをブロックしてしまう方法
- 特定のメールアドレスを検知してブロックする方法
- 特定の文字列を検知してブロックする方法
いずれも、ftp や プログラムの知識を必要とします。
詳しい部分は、現在進行形の対策作業のため、この場では公開を控えさせていただきますが、日々有効な対策を研究し、実装しております。
以下、少し知識のある方向けの記述になりますが、
IPアドレスのブロックは比較的簡単で、ホームページのデータの中でトップにある.htaccessに、次のように記述すればできます。
order allow,deny
allow from all
deny from 121.105.133.169
この対策で、少なくとも「ゼヒトモ 田中」スパムの送信者がこのアドレスを使用するかぎり、ホームページを見ることじたいができなくなります。
ただし、どの対策も、
- IPアドレスが違えばすりぬけてしまう
- メールアドレスを少し変えられたらすりぬけてしまう
- 文面を少し変えられたらすりぬけてしまう
ということになります。
スパムの対策とは、攻撃者の「悪知恵」との闘いですので、果てしない堂々巡りになる場合もあります。
しかし、そのような中でも、できるだけ迂回できないように、できるだけ他の方法でも通用しないような対策を、考えて実装していく必要があります。
最新情報が出ましたら、こちらに追記していきます。
コメント
うちのクライアントにも大量に来ました。しかし何より真っ黒なのは、うちのクライアントのサイトに設置したメールフォームをテスト投稿するために、別途用意しているテスト専用gmailアドレスがあるのですが、そのアドレスにまでメールが来たことです。
メールフォームのログファイルを盗み見ているか、さもなくばマルウェア経由でうちのクライアントに届いたメールを見ている可能性が出てきました。
普通に何らかの法に抵触していませんか、コレ。
コメントありがとうございます。昨日いらいのさまざまな動向をみますと、とにかく背景になにか黒いものが動いているのは間違いないと思います。
Zehitomo様が実際にやっているのかどうかは別として、仮定の話をしますと、
・サービスのクオリティが低い。
・技術は、ある。
・やり方が黒い。
という場合、
「一時は技術でのりきれても、最後に大きなツケが回ってくる」
ということになるかと思います。
インターネットはオープンですので、法律もありますけれども、最後にインターネットを守るのは多くのユーザーの「良心」だと確信するものです。
当方では以下のアドレスからゼヒトモ田中から送信されていましたが、ブロックしたら2日間ほどは止まっています。
[ HOST NAME ] i114-186-140-11.s41.a011.ap.plala.or.jp
[ IP ADDRESS ] 114.186.140.11
HOST NAME ] ntkngw940176.kngw.nt.ngn.ppp.infoweb.ne.jp
[ IP ADDRESS ] 220.209.91.176
ニフティのほうは神奈川県からのようですが、プロバイダをいろいろと契約して何度も繋ぎ変えて送信しているかもしれませんね。
当方でも配信停止のURLから停止依頼を一応出しておきましたが、直後に再度メールを送り付けてくる悪質さでした。
再度送られてくるようでしたら、プロバイダに発信者の照会を依頼する形にしようかと思っています。
コメントと情報ありがとうございます。やはりIPアドレスは使い分けているのですね。
本文中に加筆させていただきましたが、IPの使い分けは、もしかしたら個々の従事者(社員?)の自宅から行っているのではないか、という気もします。
だとしたら、発信者情報照会で個人名が出るか・・・あるいは、個人名だということでプロバイダが躊躇して開示しないか・・・さまざまな可能性が考えられます。
当方でも、なにか分かりましたら随時こちらに掲載いたしますね。
当方では、一定のブロック的な処置を行いつつ様子を見ておりますが、
私どもの感覚では、このような手口を使って送られてきているサイトに登録して仕事をするなどということは金輪際ありえず、その意味で
Zehitomo様がやっているのかどうかに関わりなく、明らかにZehitomoにとってマイナスの行為であると思います。
対策は対策で行いつつ、Zehitomo様の対応を見守りたいと思っております。