セキュリティ業界は常に偽のホスティングプロバイダに疑いの目を向けているが,そのレーダーの下で,地下マーケットでは別の市場セグメントが発達し,効率的なCAPTCHA認識技術によって悪意のあるインフラを構築することを狙っている(参照:Spammers targeting Bebo, generate thousands of bogus accountsMalware and spam attacks exploiting Picasa and ImageShack)。

[画像のクリックで拡大表示]

 MessageLabs Intelligenceが発表した最新の2008年の年次報告書によれば,同社が2008年に観測したGmail,Yahoo Mail,Hotmailなどの正規の電子メールプロバイダから発信されたスパムの量は,9月に25%でピークに達した後,全体の12%を占めるようになった。2008年の始めには,多くのセキュリティベンダーがこの進行中の状況について言及しており,その原因は機械学習によるCAPTCHA突破技術であると述べている。しかし現実には,CAPTCHAが正体を確かめるはずの人間自身が,対ボット技術であるCAPTCHAの存立を脅かし続けている。

 今こそ2008年のこの市場セグメントを検討して(参照:Microsoft’s CAPTCHA successfully brokenGmail, Yahoo and Hotmail’s CAPTCHA broken by spammersSpam coming from free email providers increasingSpammers attacking Microsoft’s CAPTCHA ? againInside India’s CAPTCHA solving economy),現在の状況を評価し直し,次の効果的なモデルについて考えるべき時期だろう。

 2008年には,スパム業者は信頼のあった大規模なウェブベースの電子メールサービスやアプリケーションサービスをスパムと結びつけた。これは,CAPTCHA(Completely Automated Public Turing Test to tell Computers and Humans Apart,コンピュータと人間を判別する完全自動化公開チューリングテスト)を破る技術によって,それらのサービスに大量の個人アカウントを生成することによって達成された。1月には,それらのホストされたウェブメールアカウントから発信されたスパムは全体の6.5%だったが,9月にはそれらの発信元から発信されたスパムは25%となってピークに達し,その後約12%となった。

[画像のクリックで拡大表示]

 3大無料電子メールプロバイダは,あまりにも効率的に組織的な形でサイバー犯罪者に悪用され続けているため,Spamhausなどの主要なアンチスパム組織のトップ10チャートに登場することも多い(GmailYahooMicrosoft)。現在も悪用の対象となっているこれらの企業は,この状況に気付いているにも関わらず,これらの企業のメールサーバの一部は発信されているスパムが原因で悪い評価を受けており,それらのサーバから送信されたメールは宛先に届きにくくなってしまっている。さらに,BorderWareのReputationAuthority.orgを使えば,GmailYahoo MailHotmailの評判を評価することも簡単にできる。どれがもっとも評価が悪いかは時によって違うが,現時点ではMicrosoftのサービスがGmailおよびYahoo Mailよりも評価が低いようだ。

[画像のクリックで拡大表示]

 この市場を牽引しているのは,これらのサービスに登録されたアカウントの供給だろうか,それとも牽引しているのは顧客からの需要なのだろうか。どちらにせよ,現在のところ供給はかなり効率的に行われている。例えば,私は現在,いくつかのウェブベースの偽アカウント登録サービスを監視しているのだが,それらの電子メールサービスプロバイダのアカウントにはどれも,1000件のアカウントにつき平均10ドルの値段が付いている。そう,スパム業者は10ドルで1000件の事前に登録されたアカウントを入手できるのだ。そして,これには大量購入による値引きは考慮されていない。また,私はまだそれらのサービスやインドのCAPTCHA破り業者とは関係を作れていないが,理論的にはロシアのサービスが提供している偽アカウントの供給も,人間によるCAPTCHA破り業者の登録作業にアウトソースされており,ロシアのサービス自体は仲介業者として振る舞っているだけだという可能性もある。マルウェアに感染したホストによるものであるにせよ,人間によるCAPTCHA破りであるにせよ,そこでは現に何十万件というアカウントが提供されている。

 ここで,効率について議論しよう。「Exploiting the Trust Hierarchy among Email Systems」と題する,2008年の始めに発表された研究論文がある。驚くべきことにメディアの注目をまったく集めなかったのだが,この論文では,大量送信を禁ずるGmailのメッセージ数の制限をバイパスできるだけでなく,Gmailの電子メール転送機能を悪用して,スパムに分類される電子メールを,ホワイトリストに載っているGmailのサーバを通じて転送することに成功している。Gmailは今ではDomainKeysを使っている。

 ここで提示した脆弱性は,GoogleのSMTPサーバをだまして公開SMTPリレーサーバのように振る舞わせることにより,攻撃者がブラックリストやホワイトリストに基づく電子メールフィルタをバイパスし,電子メールメッセージのすべてのフィールドを自由に偽造できるようにするものだ。われわれは概念実証コードによる攻撃を行うことにより,この脆弱性が実際に悪用可能であることを確認することができた。この概念実証コードによる攻撃では,1つのGmailアカウントから4000件以上の電子メールアドレスの対象に対してメッセージを大量送信することができた(これは,Gmailの同時送信件数の上限である500件を超えるものである)。われわれはこの例ではメッセージ数を4000件強に制限したが,より多くのメッセージを送信することを妨げる対策は取られておらず,無制限にメッセージを送信することも可能である。

 これは,自動的に登録されたGmailアカウント1つによって達成される潜在的なスパム送信速度が,大きく上昇することを意味している。別の観点から見れば,過去の1つの偽アカウントの価値は,現在のものほど高くはなかったということでもある。これは,現在流通しているアカウントは自動的にその企業のすべてのウェブサービスにアクセスすることができ,スパム業者やサイバー犯罪者がそれらのサービスをも悪用できるからだ(参照:サイバー犯罪者がGoogle Trendsのキーワードをマルウェアに利用)。CAPTCHAは死んだ。人間はCAPTCHAを効率的に認識し,そのプロセスを収益化し始めることによって,それを殺してしまった。

 最後に,次のことを考えてみて欲しい。あなたは,受信の際に使われるアンチスパムソリューションをいくつ思いつくことができ,送信の際に使われるアンチスパムソリューションをいくつ知っているだろうか。スパムが受信される前には,まず送信されなくてはならないのだ。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

関連記事