Gmail経由のスパムが急増――CAPTCHA認証はもはや意味なし?
Gmailドメイン・スパムの全スパム中に占める割合が2.6%に電子メール・セキュリティ・ベンダー、英国MessageLabsの調査で、米国GoogleのWebメール・サービス「Gmail」のドメインから発信されるスパムの数が、この2月に倍増したことが判明した。Googleは、Gmailアカウントの大量取得や、その他のWebサイト乱用行為を防ぐため、歪んだ文字の書かれた画像を人間に識別させる認証技術「CAPTCHA」を導入しているが、スパマーにはあまり効果がないようだ。
Googleの無料Webメール・サービスが、このところスパマーの格好の餌食になっている。MessageLabsは3月10日、Gmailドメインのスパムが全スパム・メールに占める割合が、2月には1.3%増の2.6%へ上昇したとするデータを発表した。
CAPTCHAは、「Completely Automated Public Turing test to tell Computers and Humans Apart(コンピュータと人間を区別する完全に自動化された公開チューリング・テスト)」の略で、2000年に開発された画像認証技術である。この認証技術は最近、その有効性が疑問視されているが、今回の調査結果は、そうした評判に追い打ちをかけるものになるかもしれない。
MessageLabsのシニア・アナリスト、ポール・ウッド(Paul Wood)氏も、「(CAPTCHAが)全面的に攻略されるのは時間の問題だ」と指摘した。
セキュリティ・ベンダーの米国Websenseは2月、スパマーがGmailのCAPTCHAをクラッキングするのに2つのホストを使用していることを突き止めた。この手法は、一時的には20%程度しか成功しないという。だが、これを何千回と繰り返すことで、多数の新規アカウントを開き、スパムの送信に悪用できるようになるのだ。これらのスパム・メッセージの大半が、成人用娯楽サイトを宣伝するリンクや画像を含んでいると、Wood氏は説明した。
スパムに悪用されやすいドメインは、スパム対策ソフトウェアで簡単にブロックすることができるが、無料のWebメールを正式に採用している企業などでは、こうしたドメインを遮断するのが難しくなっているという。全スパムのうち、Webメール・プロバイダー経由で送られてくるスパムの割合は4.2%に上っている。
これまで、GoogleのCAPTCHA認証は比較的クラッキングしにくいと考えられてきた。だが、今では簡単に破られるようになりつつあるYahoo!のCAPTCHA認証も、以前は同じように言われていた(関連記事)。MessageLabsによると、無料Webメール・プロバイダー経由のスパムの88.7%が、Yahooドメインから送信されているとのことだ。
また、米国Microsoftが同社の「Windows Live Mail」サービス申し込み用に使っているCAPTCHA認証もクラッキングの憂き目にあっている。Websenseでは、同一のスパム業者が、GoogleおよびMicrosoftのCAPTCHAを突破しているのではないかと疑っている。
なお、Wood氏によれば、MessageLabsはGoogleやその他の企業に、スパムを撃退するのに役立つデータを提供しているという。この件に関して、Googleのコメントは得られていない。
MessageLabsは、1万7,000社におよぶ顧客企業に届けられるメールを事前にフィルタリングする、企業向けのセキュリティ・サービスを販売している。同社は1日に30億通以上のメッセージを調査するが、そのうち25億通がスパム・メールとなっているという。
(Jeremy Kirk/IDG News Service ロンドン支局)
