メールフォーム SPAM の送信元が、ほぼ 1 ヶ所だった

昔作ったサイトの問い合わせフォームに、継続的に SPAM が来てるんだけど、 どうやらそのほとんどは、出どころが同じらしい。

月に 400 通の SPAM

フォームに対する SPAM といえば、掲示板やブログのコメント投稿フォームに対するものが思いつく。 その掲示板やブログの閲覧者に踏ませるために、メールアドレスや URL を投稿するタイプだ。

問い合わせフォームへの SPAM は、そのメッセージをフォームの設置者しか読まないので、 コメント投稿フォームに比べるとずっと効果が低いはずだ。 にも関わらず、問い合わせフォームにも SPAM が来る。 両者のフォームを区別するのが難しいから、絨毯爆撃的に両方を対象にしているっていうことだろうか。

僕が昔作ったサイトの問い合わせフォームで言うと、直近の 1 ヶ月で、およそ 400 通の SPAM が来た。 だいぶ前から、ずっとこんな感じだ。

送信元はドイツ? ロシア? それとも……?

なんとなくのイメージで、SPAM を送信している悪いヤツは、世界のあちこちにいるのだろうと思っていた。

ところが、過去 1 ヶ月に届いた 400 通の SPAM の送信元を見てみたら、その大半は、共通点があるものだった。

  • 文面がだいたい似たような感じ
  • 送信元ホスト名が、ドイツの Hetzner というホスティング会社のサーバになっている
    • 例えば、一番最近届いたやつだと、送信元ホスト名が static.1.112.130.94.clients.your-server.de となっている
    • your-server-de は Hetzner が所有しているドメイン
    • 1.112.130.94 の部分は IP アドレスの逆順。つまり 94.130.112.1 が IP アドレス
    • IP アドレスの部分はたまに切り替わっているようだ
    • 似たような目にあっている人のブログ記事もあった。 momiage3dau.com
  • フォームに入力されているメールアドレスのドメイン名 (@ の後) が、mail.ru になっている
    • なんちゃら@mail.ru は、ロシアのフリーメールサービス Mail.ru のアドレス
    • メールアドレスの @ の前の部分はたまに切り替わっているようだ

つまり、誰か 1 人 (あるいは 1 社) が、ドイツのサーバ経由でうちのサイトにアクセスし、広告の文言とロシアのメールアドレスを、問い合わせフォームに送信している、ということになる。

ただし、ドイツのサーバで動いているのは、SPAM 送信プログラムではなく、HTTP プロキシや Tor ノードかもしれない。また、ドイツやロシアのサービスが使われているからといって、犯人がその国に住んでいるかはわからない。