qq.com からの迷惑メールに困ったら

「この世界から電子メールなんてなくなったらいいのに。」
マトリョーシカだよ。

社内のやり取りは、Google Hangouts Chatがメインになってきたよ。
お客様とのやり取りも、ChatWorkなどを活用していてね、LINEFacebookなどのSNSを使うこともある。
個人的にはSlackを使うこともある。Slackいいよ。Slack

「パソコンは持っていないけどスマートフォンなら持っている。」
「ていうか、パソコンって必要ですか?」
そういう人が増えてきたように、
「メールアドレスは持っていないけどコミュニケーションの手段は持っている。」
という人がいつか大多数になるんじゃないかな。
早くそういう時代にならないかな。電子メールという仕組みに付き合い続けるのは、正直しんどい。
でも、まだそういう時代になっていないので、仕方なく電子メールのことも考えるんだ。

最近、JBN社内で聞くようになってきたのが、
「お客様から、迷惑メールが来るようになった、という問い合わせが来るようになったよね。」
という声。
あるお客様のところには、一日に数千件もの迷惑メールが送られてきたってさ。これでは業務に支障が出てしまうね。

これまで、メールフォームを利用した迷惑メールといえば、
ロボットが自動的にサイトを巡回して見つけたフォームを解析して内容を適当に埋めて送信する
というやり方が主流だったよ。そのため、送信ボタンの先に確認画面があるだけでつまずいて、フォームの最後までたどり着けなくなるんだ。
JBNが提供しているフォームには、基本的に確認画面があるので、このような巡回型の迷惑メールを防ぐことができているよ。

しかし、最近、迷惑メールが来るようになってしまっているみたいなんだよね。
ということは、自動的にサイトを巡回しながらメールを送るという手法ではない、ということになるんだよね。やだなぁ。

メールの送信履歴などを解析したところ、以下のような手順で送っているようだ、ということがわかったよ。

(1) とりあえず、普通にメールフォームを使って送ってみる。
(2) 送信できたことを確認したら、ちょっと違うパターンでまた送ってみる。
(3) 3通ほど送ってみて、送信したときにPOSTしている内容を解析してみる。
......ここまで、人がやっているみたい。ロボットではないので、対策は難しいかな。正しく使っている人なのか悪意のある人なのか、判断できないからね。
(4) 送信可能なPOSTのパターンがわかったら、そのパターンを使って大量に送信する。(この大量送信は、プログラムによって行われている。一秒の間に数百件送られている。)

この手順を防ぐことは難しいね。
通常、迷惑メールを防ぐには途中に壁を設けるんだけど、その壁はロボットに対して機能するので、人に対しては効果がないんだよね。
人の手で解析して最後にプログラムによって自動化する、というやり方を防ぐのは、とても難しいね。

難しいので、シンプルに考えるよ。
こういうとき、何を防げばよいか、ということを考える。

(1) 迷惑メールを送ってくるユーザー
(2) 不正なPOST
(3) 短時間に大量にPOSTする行為

さて、どうやって防ぐか、一つ一つ考えてみるよ。

迷惑メールを送ってくるユーザー

ちょっと想像してみてみよう。
あなたがスーパーの店員だったとする。お店になんだか怪しい人がやってきた。店の中をやたらとキョロキョロしている。スマートフォンを取り出した。何かメモしているようだ。またキョロキョロし始めた。またメモを取った。
......さて、どうする? 怪しいから通報する?
そんなこと、できないよね。まだ何も悪いことをしていないのに、通報なんてできないよね。
それと同じ。
迷惑メールを送るまでは普通のユーザーとの区別がつかなくて、迷惑メールが送られてきて初めて、このユーザーには出ていってもらおうという判断になる。
そのため、再発を防止することはできるけど、事前に防ぐことはできないんだ。

不正なPOST

何をもって不正とすればいいか。
不正なPOSTの場合、リファラが入っていないことが多いので、リファラで判断することはできるかもしれない。
しかし、リファラでチェックするようにした場合、それを回避したPOSTを作られるかもしれない。
ワンタイムパスワードのようなものをリアルタイムに発行してチェックするという仕組みを作れば解決すると思うけど、そこまでするのはちょっと大掛かりだね。
今まで送られてきた迷惑メールに共通する特徴として、メールアドレスが「1234567890@qq.com」となっている。(数字のところは変わるよ。)
これは中国でメジャーなフリーメールアドレスで、とても簡単に取得することができるみたい。だから、このように不正利用されることも多いみたい。
だからといって、qq.comのメールアドレスを禁止することはよくないかな。正しく使用しているユーザーがいるかもしれないからね。

短時間に大量にPOSTする行為

メールフォームを普通に利用する場合、人の手で、1秒の間に何件も送ることはできないよね。
だから、連続投稿を防止することによって、大量に送りつけられることは防ぐことができそうだね。
この方法を選んだ場合、防ぐことができるのは2通目以降になるから、1通は送られてしまうけどね。

こういう対処を考えるとき、被害を最小限に留めることを優先するよ。
また、対処しようとしてかえって別の被害を作ってもいけないよ。この場合、迷惑メールを送るつもりのないユーザーを遮断してはいけないんだ。

気持ちの上では、迷惑メールを送ってくるようなユーザーなんて遮断してしまいたいと思うかもしれない。
だけど、迷惑メールを送る前に判断することはできないし、無理に遮断しようとすると、悪意のないユーザーまで遮断してしまうよ。

少しくらいなら迷惑メールは来てもいい、と、割り切ってしまったほうが有効な手段を見つけられるんじゃないかな。
本当に迷惑なのは、数千件もの迷惑メールが来てしまうこと。これが数件だったら、気持ち悪いと思うかもしれないけどまだ許せるんじゃないかな。

迷惑メールについて、これまではロボットに対する対処を考えてきたので、対処法も単純だったんだよね。
しかし、今は、人に対する対処法を考えなければならなくなってきているようなんだ。
こちらが対処法を考えれば、向こうもそれを無効にする方法を考えてくるかもしれない。
簡単ではないので、これからも時間をかけて迷惑メールへの対処について検討を続けないといけないんだ。

ていうか、この世界から電子メールなんてなくなったらいいのに。

執筆者

マトリョーシカの中の人

マトリョーシカの中の人

「難しそうなことはきっとマトリョーシカがなんとかしてくれるはず。」 そんな都市伝説を形にするため地上に降り立ったクリーチャー。 年齢も性別もみんな不明。一体お前は何なんだ。 手も足も出ないし、首も回らない。 それなのに、いつもどうやって設計しているんだろう。 どうやってプログラム書いているんだろう。 そっちのほうが都市伝説。