ウェブメールサービスを提供する各社は、スパマーがロボットソフトウェアを利用して自動的にウェブメールアカウントを開くのを阻止するため、特別なセキュリティ保護機能を採用している。しかし、無料のポルノサイトを開設し、そこを訪問するユーザーを利用することで、この保護機能を迂回する手口がスパマーの間に広がっている。
HotmailやYahooなどの無料のウェブメールサービスは、スパマーが迷惑メールを送る際に利用されることが多い。しかし、スパマーは膨大な数のメールを送信するため、何千ものメールアカウントが必要になる。そこで、彼らはウェブ巡回ロボットを利用して、メールアカウントを自動的に開設している。
この自動化プロセスに対抗するため、ウェブメールサービスを提供する企業各社は、Captchaテスト(Completely Automated Public Test to tell Humans and Computers Apart:人間とコンピュータを区別するための完全に自動化された公開テスト)の利用を開始した。このテストでは、人間は簡単に読むことができるが、コンピュータは理解できない、歪んだ文字列の画像を作り出す。この文字は独特のフォントで描かれている場合が多く、またロボットをさらに混乱させるために背景にも模様がつけられている。
申込者がメールアカウントを開くためには、Captchaの画像の中の文字を読んで、その文字を申請フォームに入力しなければならない。コンピュータが画像の中に隠されたこの文字列を読み取ることは事実上不可能なため、スパマーは人間を介さざるを得ず、その結果自動化プロセスを利用できなくなるという寸法だ。
しかし、今年に入ってから有名なBlogサイト「Boing Boing」で最初に指摘された通り、一部のスパマーはすでにCaptchaの保護機能を迂回する巧妙な方法を既に見つけ出している。
その方法とは次のようなものだ。まず、スパマーはポルノ画像を掲載したウェブサイトを開設し、そのサイトを宣伝する。同サイトに訪れたユーザーはCaptchaの画像の中の文字を入力しないと同サイトにアクセスできない仕組みになっている。
スパマーは既に、ウェブメールアカウント開示プロセスを、人間にCaptchaの画像の中の文字を読み取ってもらう段階まで自動的にプロセスを進めるスクリプトを持っている。ポルノサイトの訪問者が解読するCaptchaの画像は、ウェブメールサイトからそのポルノサイトに転送されたものだ。ユーザーが正しい文字を入力すれば、スクリプトはウェブメールアカウントの申込みプロセスを完了することができ、一方のユーザーはその見返りとしてポルノ画像を無料で閲覧できるというわけだ。
Computer Associates Internationalのセキュリティ担当バイスプレジデント、Simon Perryによると、セキュリティは常に「動く標的」であり、MSNなどの企業が自社の製品やサービスを保護するための新しい技術を使用しても、それが迂回されるのは時間の問題だという。
「(セキュリティ技術に)改善を加えるごとに、スパマーが迂回するのも少しずつ困難になっている。だが、彼らに対抗するためには、継続的にハードルを高くしていかなくてはならない」(Perry)
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」