迷惑メール調査室調査方法

迷惑メール調査室

MENU
■トップページ

■調査方法

■調査結果１

■迷惑メール対策

■関連リンク集

■ご意見・ご感想

調査方法

■調査テーマは「HPにメールアドレスを掲載する際の迷惑メール対策の有効性評価」です。
▽ホームページに自分のメールアドレスを掲載すると迷惑メールのターゲットにされてしまいます。ただし工夫を施すことで、ターゲットにされにくくすることは可能です。現在、さまざまな方法が世の中で考えられていますが、このサイトではどの方法がどれくらい有効なのかを調査しています。

■調査は当ホームページ内に掲載したおとりメールアドレスを用いて行っています。
▽メールアドレス収集ロボットに対するいくつかの対策手法を、それぞれ別のメールアドレスに対して施して当サイトのトップページに掲載しています。それぞれのアドレスに送られてくる迷惑メールの数を集計して比較することで、どの対策がどのくらい効果があるかを分析する予定です。

■現時点での調査の進捗は調査結果１をご覧ください。

調査の背景

１．迷惑メールが送られてくる仕組み

迷惑メールには様々な種類があり、以下のような目的で送信されてきます。この中でも現在は出会い系やアダルト関係業者の宣伝が多いようです。

ダイレクトメールのようにある商品やサービスの宣伝のため
フィッシング（インターネット上の詐欺の手口の一種）を仕掛けるため
盗聴ソフトウェアをPCに忍び込ませたり、ウィルスを感染させるため
いたずらや何らかの実験のため

このように迷惑メールが送信される理由は様々ですが、一つ共通していることがあります。それは、どんな迷惑メールであれ、メールアドレスを知らなければ我々の元に送りつけてくることはできないということです。

言い換えれば、我々が迷惑メールを受け取っているということは、迷惑メール送信者に我々のメールアドレスを知られてしまっているということです。

では、迷惑メールの送信者はどのようにメールアドレスを知ったのでしょうか？　実態はそうした人たちに直接聞いてみなければわかりませんが、例えば私のメールアドレスが知られたとしたら下記ような方法を取ったと考えられます。

私がホームページに掲載しているメールアドレスを見た
私の名刺に記載しているメールアドレスを見た
私がアンケートサイトで記入したメールアドレスを見た
私とメールをやり取りした人のアドレス帳を盗み見た
誰かが上記手法で集めたメールアドレスリストを、お金を出して購入した

現実的には一番上に挙げた、ホームページから私のメールアドレスを取得した可能性が最も高いと考えられます。なぜなら、その方法が最も手軽に多数のメールアドレスを収集できるためです。

また、一番下の項目のように、集められたアドレスが売買されているのも事実のようです。この場合も、アドレスを売る人は、やはりホームページからメールアドレスを収集したものを売っていることが多いと考えられます。

実際、私はいくつかのメールアドレスを使用していますが、他のものに比べてホームページに掲載したものには頻繁に迷惑メールが送られてきています。

２．ホームページからメールアドレスを取得するのが簡単な理由

メールアドレスをホームページから収集しようと思えば、yahoo!やgoogleなどの検索サイトから適当にいろんな人のホームページを見に行ってそこに書かれているメールアドレスを探す、という方法が考えられます。

これをわざわざ人間が手で行わなくても、ソフトウェアで自動的に行うことができます。それがメールアドレス収集ソフト（収集ロボット）と呼ばれるものです。ソフトウェアで自動収集するわけですから、寝ている間に大量のメールアドレスを集めてきてくれます。

この「メールアドレス収集ソフト」という言葉をgoogle検索にかけると、実際にそうしたソフトを販売している業者がいくつかあることもわかります。

プログラミングができる人であれば、こうしたソフトを購入しなくても自分で作ることもできますし、おそらくもっと調べれば無料ソフトもあるかもしれません。

３．メールアドレス収集ソフトへの対抗策

ホームページにメールアドレスを公開すると、メールアドレス収集ソフトによってメールアドレスを取得され、迷惑メールのターゲットにされてしまいます。ですから迷惑メールを送られたくなければ、ホームページにはメールアドレスを公開しないことが一番です。

しかし、ホームページを見に来てくれた人から意見や感想をもらいたいことがあると思います。企業であれば商品を販売したりユーザサポートのためにメールアドレスを掲載したいと考えるでしょう。

もちろん、CGIで連絡フォームや掲示板を作成することで代用はできますが、そちらにもまた別の問題がありますので、人によってはメールアドレスを公開することを選択せざるを得ないこともあります。

ホームページにメールアドレスを公開する際に、メールアドレス収集ソフトによってメールアドレスを収集されることを防ぐ方法がいくつかあります。メールアドレス収集ソフトは、機械的にホームページからメールアドレスと思われる文字列を集めてきます。このため、例えばメールアドレスを画像ファイルの中に示すことで、メールアドレス収集ソフトに対抗することができます。

ただし、こうした対抗策のいくつかは、ホームページを見に来た人にとっては不便なものになります。例で示した画像化する方法では、メールアドレスをコピーすることができないため、閲覧者は自分でメールアドレスを打ち込まなければなりません。これはキーボードにあまり慣れていないユーザには不便ですし、気軽に感想を送ろうとした人のやる気を損なうかもしれません。

また、いくつかの単純な対抗策の場合、少し能力の高いメールアドレス収集ソフトには効果がないこともあります。

ですから、メールアドレス収集ソフトへの対抗策を施してメールアドレスをホームページに掲載する場合、利用者の使い勝手と対策効果の両面を考慮する必要があります。

また、手間がかかる対抗策や技術的に難しい対抗策を施してしまうと、将来的に問題が起きる可能性もあります。特に、企業のホームページのように将来的に自分以外の人がそのホームページの更新を行う可能性が高い場合などには、注意が必要です。

４．メールアドレス収集ソフトへの対抗策の効果

前の項で、メールアドレス収集ソフトへの対抗策を実施する場合には、利用者の使い勝手と対策効果のバランスを考える必要があると述べました。このバランスを考えるためには、使い勝手と対策効果について何らかの指標が必要になりますが、あまりこうした調査はなされていないようです。

そこで、当サイトでは、まずそれぞれの対抗策の実際の効果を実験により調査してみることにしました。

調査方法の詳細

調査用に20個程度のおとりメールアドレスを用意し、それぞれに別々の対抗策を施して当サイトのトップページに掲載しています。そしてこれらのアドレス宛に迷惑メールが送信されてくるのを待ちます。より多くの迷惑メールが送られてきたアドレスに対して施した対抗策は効果が低く、逆に迷惑メールが少ない対抗策は効果が高いと考えるわけです。

下の表１に、本サイトのトップページに仕掛けた対抗策の一覧を示します。

表１．メールアドレスに施したアドレス収集ソフト対抗策

	mailtoリンク	本文中での表示	アドレス収集ソフト対策
(a)	あり	あり	なし
(b)	あり	なし	なし
(c)	あり	なし	@に数値文字参照を利用（@）
(d)	あり	なし	javascriptで別ファイルから読み込む
(e)	あり	なし	mailto:に数値文字参照を利用
(f)	あり	なし	?subject=dummyを付加
(g)	あり	なし	?subject=ダミーを付加
(h)	あり	なし	改行を挟む
(i)	あり	あり	なし
(j)	なし	あり	なし
(k)	なし	あり	@に数値文字参照を利用（@）
(l)	なし	あり	javascriptで別ファイルから読み込む
(m)	なし	あり	文字の置換え（全角＠を使用）
(n)	なし	あり	文字の置換え（"あっとまーく"を使用）
(o)	なし	あり	タグで分断する
(p)	あり	あり	なし
(q)	なし	あり	@を画像化
(r)	なし	あり	アドレス全体を画像化
(s)	あり	なし	アドレス暗号化(javascript使用)

mailtoリンクとは、ブラウザ上で対象の文字列をクリックすると、指定したメールアドレスがあて先に設定された状態でメーラー（Outlookなど）が起動するという仕掛けのことです。この機能を利用すると、利用者がメールアドレスをコピーする手間が省けるので、使い勝手がよくなります。ただし、メールアドレス収集ソフトはこのmailtoリンクを手がかりにメールアドレスを収集しているとも言われており、利用すると迷惑メールのターゲットになる可能性が高くなる恐れがあります。

本文中のアドレス表示とは、ブラウザで見たときにメールアドレスが利用者に見える形になっていることを意味します。表１で「なし」となっているものは、mailtoリンクを利用して、直接画面上にはメールアドレスを表示していないものです。HTMLタグを無視して本文のみを読むメールアドレス収集ソフトがあれば、これらのアドレスは収集されないかもしれません。

(c),(e),(k)で用いられている数値文字参照とは、HTMLファイルに直接文字を書き込まず"&#数値"という記述で文字を表す方法です。エンティティコードとも呼ばれています。例えば"@"とHTMLファイル上に記述すると、ブラウザには"@"が表示されます。"mailto:"は"mailto:"と書けば表示されます。数値文字参照を解釈できないメールアドレス収集ソフトには、メールアドレスを収集できません。

(d),(l)で用いられているjavascriptで別ファイルから読み込むという方法は、HTMLファイルとは別にメールアドレスの記述されたjavascriptファイルを用意しておき、ブラウザでページを表示する際にそのjavascriptファイルに書かれたメールアドレスを表示させるものです。こうすることで、HTMLファイルの中身だけを参照するようなメールアドレス収集ソフトにはメールアドレスを取得されなくなります。

(f),(g)で用いられている?subject=～を付加という方法は、mailtoリンクの後にsubject（メールの表題）を指定するオプションを付けるものです。メールアドレス収集ソフトがmailtoリンク内の文字列を単純に取り出してくると、メールアドレスの後ろに"?Subject=～"という余計な文字列がくっつくことになります。これをそのまま利用すると、メールアドレスが間違っているとみなれされメールは送信されません。

(h)の改行を挟むというのは、mailtoリンクの中に記述したメールアドレスの途中に改行を挟んで文字列を分断する方法です。メールアドレス収集ソフトが改行を無視しないようになっていれば、メールアドレスの一部分しか収集されないことになります。

(m),(n)で用いている文字の置換えとは、メールアドレスの一部分を、人間が読めばわかる別の文字に置換える手法です。意味解釈をして元のメールアドレスに変換するようなことは今の技術では困難ですので効果の高い手法だと考えられます。ただし、一般の利用者が文字を変換しなければなりませんので、手間がかかります。また、利用者にある程度の知識が要求されます。（「全角と半角という概念」や「@記号の読み方」を知らなければ(m)や(n)から正しいアドレスを得られません）

(o)のタグで分断するという手法は、メールアドレスの途中に適当なHTMLタグを混入させるものです。アドレスがHTMLタグで分断されている可能性を考慮していないメールアドレス収集ソフトでは、上手く取得することができません。

(q),(r)で用いている画像化は有名な手法です。アドレスをテキストで書かずに画像で表示することで、テキスト処理しか行わないメールアドレス収集ソフトでは取得不可能になります。非常に効果の高い手法と言われていますが、反面、利用者がメールアドレスを手入力しなければならないため、利便性は低くなります。

(s)のアドレス暗号化は、HTMLファイル内ではメールアドレスを暗号化しておき、ブラウザで読み込んだ際にjavascriptで復号するという手法です。暗号を解読するかブラウザと同じようにjavascriptを実行できるような機能を持ったメールアドレス収集ソフトでなければ、メールアドレスを取得できません。（なお、(s)の暗号化されたアドレスは「メールアドレス暗号化スクリプト Version 2」のページを利用して作成しました。この場を借りて御礼申し上げます）

※なお、「?subject=～を付加」、「改行を挟む」、「タグで分断する」という手法は、当サイトオリジナルです。

事前調査

「メールアドレス収集ロボットを使用した収集確認」というページを利用すると、メールアドレス収集ソフトによって自分のホームページからメールアドレスが収集されるかどうかチェックすることができます。ただし、このページで利用しているアドレス収集CGIの機能が一般的なものかどうかは不明ですので、あくまで参考にするためのもののようです。

事前調査として、このページで当サイトのトップページにあるメールアドレスのうち、どれが取得されるかをチェックしてみました。その結果が表２です。なお、このページにはjavascript収集をするものとしないものがありましたが、より高機能なjavascriptを収集する方を試してみました。

表２．メールアドレス収集CGIによる試験結果

	mailto	本文中	アドレス収集ソフト対策	結果
(a)	あり	あり	なし	取得可能
(b)	あり	なし	なし	取得可能
(c)	あり	なし	@に数値文字参照を利用（@）	取得可能
(d)	あり	なし	javascriptで別ファイルから読み込む	取得可能
(e)	あり	なし	mailto:に数値文字参照を利用	取得可能
(f)	あり	なし	?subject=dummyを付加	取得可能*1
(g)	あり	なし	?subject=ダミーを付加	取得可能*1
(h)	あり	なし	改行を挟む	取得可能
(i)	あり	あり	なし	取得可能
(j)	なし	あり	なし	-
(k)	なし	あり	@に数値文字参照を利用（@）	-
(l)	なし	あり	javascriptで別ファイルから読み込む	-
(m)	なし	あり	文字の置換え（全角＠を使用）	-
(n)	なし	あり	文字の置換え（"あっとまーく"を使用）	-
(o)	なし	あり	タグで分断する	-
(p)	あり	あり	なし	取得可能
(q)	なし	あり	@を画像化	-
(r)	なし	あり	アドレス全体を画像化	-
(s)	あり	なし	アドレス暗号化(javascript使用)	-

*1 メールアドレスに余分な文字列(?subject:～)が付いた状態で取得

この結果を見ると、mailtoリンクを使っているアドレスは(s)を除いては全て取得されています。つまり、このCGIと同等の機能を持ったメールアドレス取得ソフトを利用された場合(a)～(i)の対策では歯が立たないわけです。

ただし、(f)と(g)の場合、取得されたメールアドレスの末尾に"?subject:～"が付いたままでした。試しにこの部分を含めてそのメールアドレスに送信を試みたところ、送信エラーになりました。ですので、収集後に"?"以降の文字列を消す処理をしなければ、迷惑メールは送信されないことになります。

なお、mailtoリンクを使っていないアドレスは取得できていませんが、これは単に使用したCGIがmailtoリンクのみをターゲットにしているためです。

事前調査の考察

事前実験により、ある程度の知識を持った人が作成したメールアドレス収集ソフトは、（mailtoリンクに限れば）ほぼ全ての対抗策を潜り抜けてしまうことが分かりました。

これはもちろん予想していたことです。当サイトの調査では、このようにいろいろな対抗策を潜り抜けてメールアドレスを取得できるアドレス収集ソフトが、どれくらい利用されているのかを明らかにすることを目的にしています。

もしも、当サイトの調査の結果、無対策のアドレスと簡単な対策を施したアドレスで、ほぼ同じくらいの迷惑メールを受け取った場合、簡単な対策はほとんど意味がないと言えます。

反対に、簡単な対策を施すことで、無対策のアドレスと比べて迷惑メール受信数が激減した場合、手間隙かけて高度な対策を施さなくても簡単な対策だけで十分ということになります。

私個人としては、簡単な対策でかなりの迷惑メールを防げるのではないかと予想＆期待しています。

なぜなら、ほとんどのホームページでは対策が施されていませんので、メールアドレス収集ソフトの作成者から見ると、シンプルな機能で十分に満足できる量のアドレスを収集できるためです。

メールアドレス収集ソフトを使用する人からみても、シンプルな機能のものを使っていても特に不満を感じないため、新しい機能を搭載したソフトに乗り換えることも少ないと思います。

もちろん、知識が豊富なメールアドレス収集ソフトの作成者や使用者は高機能化の流れに乗っていると思いますが、少数派だと思われます。

調査進捗＆結果

調査の進捗は調査結果１をご覧ください。