[2-H-1-04] 捕食出版社から医療機関に送信される迷惑メールのSMTPヘッダ情報を用いた送信戦略の予測と阻止方略の検証
Predatory Publisher , Unsolicited Commercial E-mail, SMTP Header, Association Analysis
近年、医療機関に向けて営利目的の捕食(ハゲタカ・predatory)出版社からの迷惑メールが大量に送信され、その数は増加の一途をたどっている。本研究では、それらの検出・阻止を目的として、まず、2016-17年に医科大学のメール受信中継サーバに着信した捕食出版社からの迷惑メール約15万通のSMTPエンベロープヘッダ情報の特徴および時系列に沿った送信元ドメイン変化の傾向を調べた。アソシエーション分析によって、送信者アドレスのドメイン部、送信サーバのIPアドレス、送信サーバFQDNのドメイン部、接続時に送信サーバが名乗るhelo/ehloの4つの項目の間に関連性が観察された。大量送信をおこなう出版社の送信パターンは 1)送信サーバを変えずに送信者アドレスのドメイン部を次々と変化させる方式、2) 送信者アドレスのドメイン部をあまり変化させずに送信サーバを次々と変化させる方式、そして3) 送信者アドレスのドメイン部と送信サーバの組を刻々と変化させながら送信する方式に大別されることが判明した。これらのことから、メール送信に用いる送信業者および送信者アドレスのドメイン部等を変化・増加させることによって迷惑メールフィルターの回避を企図していることが推定された。また、上述の4項目に、さらに送信に用いられる通信業者等が用いているIPアドレス範囲の情報を加えてヘッダ情報の変化を予測することにより、捕食出版社からの迷惑メールを検出・阻止できる可能性が示唆された。そこで、2018年初頭から2019年上半期に捕食出版社から送信された迷惑メール(約46万通)について、上述の推定に基づいて策定した検出ルールを受信中継サーバのMTAにセットし、予測の妥当性を検出・阻止の精度を指標として検証した。その結果、捕食出版社によるヘッダ情報を刻々変化させながらの大量送信に対して、送信された迷惑メールの98%を阻止できた。