「メール・マガジンを配信する企業の93％にスパムを送信させられてしまう危険」，米Arial Software

高橋信頼

2004.07.09

　「オンライン企業は，単純なコードで自社の電子メール・データベースを破壊される危険にさらされている」。米Arial Softwareが調査した結果を米国時間7月8日に明らかにした。

　同社が1057のオンライン企業が提供する電子メール購読申し込みプロセスを調査した結果，93％の企業におけるインハウス電子メール・データベースの保全性が失われる危険にさらされていることが明らかになった。これは，購読プロセスにおいて2重確認を行っていないために発生する問題だという。

　企業が顧客に電子ニュースレターの配信申し込みを処理する場合，電子メールを使った2重の確認プロセスを踏むことが望ましい。このプロセスでは，エンド・ユーザーが電子メールのニュースレターの購読を申し込む際に利用したアドレス宛てに企業が確認メールを返信する。ユーザーが返信メールに記載されるURLをクリックすると最終的な購読申し込みの確認が行なわれるというもの。このプロセスを採用している企業は，たったの7％だった。

　同プロセスを採用しない93％の企業では，電子メールの確認を行なわない。そのため，攻撃者は，名前と電子メール・ドメインを組み合わせて大量の電子メール・アドレスを作成し，企業のデータベースに追加するスクリプトを書くことができる。ターゲットにされた企業が次にニュースレターを送信する際に，多数のエンドユーザーにスパムを送信することになる。

　米連邦取引委員会（FTC）は，スパムを送信したものに対してスパム対策法「CAN-SPAM Act」への違反として罰金を課すことができる。同社が，Coca-Cola社のメール購読を試した結果，「BillGates@microsoft.com」の電子メール・アドレスで申し込みができた。「理論上，悪意を持つコードでCoca-Cola社のデータベースを99ドルのCDで買った1000万件の電子メール・アドレスで満たすことができる。Coca-Cola社の罰金は数百万ドルに達するだろう」（同社社長のMike Adams氏）