［英国］
Gmail経由のスパムが急増――CAPTCHA認証はもはや意味なし？

Gmailドメイン・スパムの全スパム中に占める割合が2.6％に

（2008年03月11日）

　電子メール・セキュリティ・ベンダー、英国MessageLabsの調査で、米国GoogleのWebメール・サービス「Gmail」のドメインから発信されるスパムの数が、この2月に倍増したことが判明した。Googleは、Gmailアカウントの大量取得や、その他のWebサイト乱用行為を防ぐため、歪んだ文字の書かれた画像を人間に識別させる認証技術「CAPTCHA」を導入しているが、スパマーにはあまり効果がないようだ。

　Googleの無料Webメール・サービスが、このところスパマーの格好の餌食になっている。MessageLabsは3月10日、Gmailドメインのスパムが全スパム・メールに占める割合が、2月には1.3％増の2.6％へ上昇したとするデータを発表した。

　CAPTCHAは、「Completely Automated Public Turing test to tell Computers and Humans Apart（コンピュータと人間を区別する完全に自動化された公開チューリング・テスト）」の略で、2000年に開発された画像認証技術である。この認証技術は最近、その有効性が疑問視されているが、今回の調査結果は、そうした評判に追い打ちをかけるものになるかもしれない。

CAPTCHA認証の有効性が揺らいでいる（画面はThe Official CAPTCHAサイトより）

　MessageLabsのシニア・アナリスト、ポール・ウッド（Paul Wood）氏も、「（CAPTCHAが）全面的に攻略されるのは時間の問題だ」と指摘した。

　セキュリティ・ベンダーの米国Websenseは2月、スパマーがGmailのCAPTCHAをクラッキングするのに2つのホストを使用していることを突き止めた。この手法は、一時的には20％程度しか成功しないという。だが、これを何千回と繰り返すことで、多数の新規アカウントを開き、スパムの送信に悪用できるようになるのだ。これらのスパム・メッセージの大半が、成人用娯楽サイトを宣伝するリンクや画像を含んでいると、Wood氏は説明した。

　スパムに悪用されやすいドメインは、スパム対策ソフトウェアで簡単にブロックすることができるが、無料のWebメールを正式に採用している企業などでは、こうしたドメインを遮断するのが難しくなっているという。全スパムのうち、Webメール・プロバイダー経由で送られてくるスパムの割合は4.2％に上っている。

　これまで、GoogleのCAPTCHA認証は比較的クラッキングしにくいと考えられてきた。だが、今では簡単に破られるようになりつつあるYahoo!のCAPTCHA認証も、以前は同じように言われていた（関連記事）。MessageLabsによると、無料Webメール・プロバイダー経由のスパムの88.7％が、Yahooドメインから送信されているとのことだ。

　また、米国Microsoftが同社の「Windows Live Mail」サービス申し込み用に使っているCAPTCHA認証もクラッキングの憂き目にあっている。Websenseでは、同一のスパム業者が、GoogleおよびMicrosoftのCAPTCHAを突破しているのではないかと疑っている。

　なお、Wood氏によれば、MessageLabsはGoogleやその他の企業に、スパムを撃退するのに役立つデータを提供しているという。この件に関して、Googleのコメントは得られていない。

　MessageLabsは、1万7,000社におよぶ顧客企業に届けられるメールを事前にフィルタリングする、企業向けのセキュリティ・サービスを販売している。同社は1日に30億通以上のメッセージを調査するが、そのうち25億通がスパム・メールとなっているという。

(Jeremy Kirk／IDG News Service ロンドン支局)