この数日間、16 進数で不明瞭化した URL を使ったスパムメッセージの増加が確認されています。16 進の文字コードとは、単に ASCII 文字セットを 16 進数で表記した形式のことで、コンピュータにとっては 16 進数もインターネット上にたくさんあるアドレス表記形式のひとつに過ぎません。
以下に示すのは、http://www.symantec.com を何通りかの 16 進形式で表した例です。
16 進数のみの例:
http://www.
symantec.com
16 進数と ASCII 文字の例:
(URL のうち "http" と "com" が ASCII 文字、残りが 16 進数)
http://www.sym
antec.com
(URL のうち "http://www" が 16 進数、残りが ASCII 文字)
http://www.symantec.com
シマンテックで確認した限り、16 進数による URL 不明瞭化にはいくつかの手法が使われています。
図 1. 16 進数による URL 不明瞭化を使ったスパムメール
図 2. 16 進数による URL 不明瞭化を使ったスパムメール(図 1)のソースコード
16 進数で URL を不明瞭化する手口は、目新しいものではありません。この手口は、スパム対策フィルタをすり抜ける目的で使われています。スパム対策エンジンはメッセージ本文に含まれる 1 文字ずつに反応してしまうからです。16 進数スパムの量が最近急増したことを受けて、シマンテックはこの攻撃の監視を続け、適切に対応いたします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。