【解説】
CAPTCHA認証は“終わった”技術なのか――有効性を疑問視する専門家たち

Topics
グーグルのBloggerでスパミングが急増
偽のブログを自動作成してスパム商品の販売促進に“活用”

Jeremy Kirk／IDG News Serviceロンドン支局

　米国Googleのブログ・サービス「Blogger」にスパマーが偽のブログを自動作成するという行為が広がっており、大量アカウント登録を防ぐために導入されたCAPTCHAの有効性が疑問視される事態となっている。

　セキュリティ・ベンダーである米国Websenseのアナリスト、サミート・プラサード（Sumeet Prasad）氏によると、スパマーは、ボットネットのPCに命令コードを送り、無料のアカウントをBloggerに多数登録しているという。ボットネットのPCは、外部ホストにリクエストを出し、CAPTCHAを破ってその答えを戻すよう求める。Websenseによると、このプロセスの成功率はおよそ8〜13％だという。

　CAPTCHAを破る方法ははっきりと突き止められているわけではなく、これまではスパマーに雇われた人物が毎回判読していると考えられていた。しかし、研究者たちは、コンピュータを使ったCAPTCHAの破り方について、その成功率を高める方法を見つけ出し、クラッカー同様の方法を用いている可能性を示した。

　セキュリティ・ベンダーや研究者らは、最近、MicrosoftやYahoo!、Googleなどの無料のメール・サービスでスパムとして利用されるアカウントの数が急増しており、現行のCAPTCHA技術は有効性を失ったと指摘している。

　スパマーは、Bloggerに開設したブログを、スパム商品の販売促進に利用している。しかも、これらのブログには、スパミングに関係する他のWebサイトへブラウザをリダイレクトするJavaScriptコードが組み込まれている場合も少なくない。

　Prasad氏は、「リダイレクトを行うアカウントは、実際のスパム・ドメインではなく、さまざまなスパム・キャンペーンに組み込まれている。こうした手法を用いることで、スパマーは、さまざまなアンチスパム・サービスの裏をかくことに成功している」と指摘している。

　実際、スパマーは、GoogleのBloggerドメインを隠れみのに使っている。このドメインは、セキュリティ・ソフトウェアから疑わしいドメインとしてブロックされる可能性が低いからだ。

　Websenseのセキュリティ調査担当バイスプレジデント、ダン・ハバード（Dan Hubbard）氏は、リダイレクトを禁止すれば、こうした行為を防止することができるとしている。しかし、セキュリティ制限を追加してばかりでは、正当な目的で各種機能を使っているユーザーの離反を招いてしまう可能性もある。

　Web 2.0系サイトは、多くのユーザーに支えられているという側面もあるため、ユーザーが離反するようなことになれば大変な痛手となる。また、リダイレクト機能がブログ・ページへの広告配信手段に使われているという事情もある。

　さらにGoogleは、ボットによって自動的に作成された偽のブログの特定手段も見つけ出す必要がある。Hubbard氏によると、こうしたブログには、人ではなく機械によって作成されたことを示すさまざまな痕跡が見られるが、それを検知するためのメカニズムが現状ではまだ開発されていないという。

　新手のスパム手法が登場したことで、今後偽のブログが増加する可能性もある。しかし、Blogger上のブログはきわめて数が多いため、スパマーの開設したブログが当分の間、検知されない可能性も高いという。

　Googleは、以前からBlogger上でのスパム行為と戦ってきた。同社は、スパム・リンクの入ったブログを排除するために、自動スパム分類アルゴリズムを導入している。ユーザーがスパム・ブログをGoogleに直接通知するツールも用意しているが、こうした戦いはこれから先も続きそうだ。