手ごわいスパム攻撃

　受信拒否されたら別のボットから送信を試みるというやり方と思われるスパムアクセスを、2004年ころに何度か発見したことがある。このことは、2007年10月1日「スパマーは進歩しているのか？」で述べた。
　最近ではこのようなスパムアクセスは観測されていなかったが、久しぶりに現れた。拒絶ログソーティングスクリプトでソーティングした結果を示す。

Feb 10 10:31:33 unknown [190.84.120.208]
Feb 10 10:48:35 unknown [190.84.120.208]
Feb 10 11:15:37 unknown [190.84.120.208]

Feb 10 10:32:49 host60.190-228-65.telecom.net.ar [190.228.65.60]
Feb 10 10:50:01 host60.190-228-65.telecom.net.ar [190.228.65.60]
Feb 10 11:17:53 host60.190-228-65.telecom.net.ar [190.228.65.60]

Feb 10 10:33:56 unknown [118.91.2.38]
Feb 10 10:50:57 unknown [118.91.2.38]
Feb 10 11:17:58 unknown [118.91.2.38]

Feb 10 10:35:11 ppp-58-10-74-55.revip2.asianet.co.th [58.10.74.55]
Feb 10 10:52:12 ppp-58-10-74-55.revip2.asianet.co.th [58.10.74.55]
Feb 10 11:19:13 ppp-58-10-74-55.revip2.asianet.co.th [58.10.74.55]

　1分前後の間隔で異なるホストからアクセスが来ており、しかも、同一ホストから17～27分の間隔でリトライしている。アクセスはこれで止まらず、多数のボットからのアクセスが12時47分まで続いていた。これでは、DNSBLは簡単に突破されるだろうし、グレイリスティングも突破されてしまう。
　とはいえ、リトライの継続時間は1時間未満なので、素のS25R方式を使っていればブロックを破られるおそれは少ない。もしメールサーバと同じように何時間もリトライするボットが現れたら、S25R方式でも防御が困難になるだろう。もっとも、ボットに何時間もリトライさせることは、スパマーにとってはコスト高な方法である。スパマーはそこまでやるだろうか。今後、スパマーの戦略がどうなるか、観察を続けようと思う。