サイト内検索

【 ここから本文 】

• TOP
• >  Topics : セキュリティ・マネジメント
• >  

セキュリティ・マネジメント

ソーシャルブックマークに登録 ：
印刷用ページの表示

---

［米国］
グーグルのBloggerでスパミングが急増――偽のブログを自動作成

CAPTCHAの有効性を疑問視する声も

（2008年04月28日）

　米国Googleのブログ・サービス「Blogger」にスパマーが偽のブログを自動作成するという行為が広がっており、大量アカウント登録を防ぐために導入されたCAPTCHAの有効性が疑問視される事態となっている。

　セキュリティ・ベンダーである米国Websenseのアナリスト、スミート・プラサド（Sumeet Prasad）氏によると、スパマーは、ボットネットのPCに命令コードを送り、無料のアカウントをBloggerに多数登録しているという。またスパマーは、CAPTCHA（コンピュータと人間を区別するための完全に自動化された公開チューリング・テスト）を破る手段も見つけ出したようだ。CAPTCHAは、ゆがめた文字を表示し、それを判読しないとアカウント登録を完了することができない仕組みになっている。

　ボットネットのPCは、外部ホストにリクエストを出し、CAPTCHAを破ってその答えを戻すよう求める。Websenseによると、このプロセスの成功率はおよそ8〜13％だという。

　CAPTCHAを破る方法ははっきりと突き止められているわけではなく、これまでは雇われた人物が毎回判読していると考えられていた。しかし、研究者たちは、コンピュータを使ったCAPTCHAの破り方について、その成功率を高める方法を見つけ出し、ハッカーが同様の方法を用いている可能性を示した。

　セキュリティ・ベンダーや研究者らは、最近、MicrosoftやYahoo!、Googleなどの無料電子メール・サービスでスパムとして利用されるアカウントの数が急増しており、現行のCAPTCHA技術は有効性を失ったと指摘している。

　スパマーは、Bloggerに開設したブログをスパム商品の販売促進に利用している。しかも、これらのブログには、スパミングに関係する他のWebサイトへブラウザをリダイレクトするJavaScriptコードが組み込まれている場合も少なくない。

　Prasad氏は、「リダイレクトを行うアカウントは、実際のスパム・ドメインではなく、さまざまなスパム・キャンペーンに組み込まれている。こうした手法を用いることで、スパマーは、さまざまなアンチスパム・サービスの裏をかくことに成功している」と指摘している。

　実際スパマーは、GoogleのBloggerドメインを隠れみのに使っている。このドメインは、セキュリティ・ソフトウェアから疑わしいドメインとしてブロックされる可能性が低いからだ。

　Websenseのセキュリティ調査担当バイスプレジデント、ダン・ハバード（Dan Hubbard）氏は、リダイレクトを禁止すれば、こうした行為を防止することができるとしている。しかし、セキュリティ制限を追加してばかりでは、正当な目的で各種機能を使っているユーザーの離反を招いてしまう可能性もある。

　Web 2.0系サイトは、多くのユーザーに支えられているという側面もあるため、ユーザーが離反するようなことになれば大変な痛手となる。また、リダイレクト機能がブログ・ページへの広告配信手段に使われているという事情もある。

　さらにGoogleは、ボットによって自動的に作成された偽のブログの特定手段も見つけ出す必要がある。Hubbard氏によると、こうしたブログには、人ではなく機械によって作成されたことを示すさまざまな痕跡が見られるが、それを検知するためのメカニズムが現状ではまだ開発されていないという。

　新手のスパム手法が登場したことで、今後偽のブログが増加する可能性もある。しかし、Blogger上のブログはきわめて数が多いため、スパマーの開設したブログが当分の間、検知されない可能性も高いという。

　Googleは、以前からBlogger上でのスパム行為と戦ってきた。同社は、スパム・リンクの入ったブログを排除するために、自動スパム分類アルゴリズムを導入している。ユーザーがスパム・ブログをGoogleに直接通知するツールも用意しているが、こうした戦いはこれから先も続きそうだ。

(Jeremy Kirk／IDG News Serviceロンドン支局)

---

---

▲ページの先頭へ戻る

---

---