spam 送信者は，ボットネットを用いて不特定多数のあて先に対して大量の spam を送信する．spam のうち，81.2% はボットに感染したエンドユーザコンピュータから送信される．spam 送信者は，spam のターゲットとなるあて先メールアドレスを入手すること，spam の送信手段であるボットネットを維持・管理することが重要となる．本研究は，アドレスハーベスティングと spam 送信に着目し，ボットネットの spam 活動を調査する．アドレスハーベスタ，spam 送信者がボットネットであるかの分類，ボットネットの活動拠点を調べるため IP アドレスの分布，どのような頻度で活動をするかアクセス回数の 3 つの観点から調査し spam 活動を考察した．ボットネットの分布に関しては，ハニーポットへアクセスしてきた IP アドレスをヒルベルト曲線にて 2 次元マトリックスへマッピングした．ヒルベルト曲線は，類似した IP アドレスを近傍に表示できる．ボットネットは集団感染をするという性質から，IP アドレスが近傍に表示された際，同じボットネットに所属している可能性がある．今回の観測から，ボットネットのアクセスのひとつの特徴として，連続する IP アドレスから同時に，短期間で大量のアクセスを試みることを確認した．

Spammers send a large amount of spam to a large number of the e-mail addresses using botnet. End-user computers infected with a bot sent 81.2% of all spam. The following activities are important in spammers. (1)To obtain e-mail addresses for spam targets. (2)To manage the botnets for spam sending. Our research purpose is to study the activities of e-mail address harvesters and spam bots from access log of honeypots. In this paper, we investigated the botnets activity focused on spam activity with e-mail address harvesting and spam sending.We investigated botnet activities from the activity base in IPv4 address space of spammers and e-mail address harvesters, classification into botnets, and access frequency to the honeypots.We represent a mapping of the first and second octets of IPv4 addresses of botnet onto the Hilbert curve. The Hilbert curve visualizes the IPv4 address space in 2-dimensions. This curve keeps adjacent address physically near each other. If IP addresses appear in the vicinity, the IP addresses might belong to the same botnet. As a result, we verified one of features of botnets that amount of access from consecutive IP addresses have visited in short term.