イタチごっこ続く米国のスパム対策

小久保重信

2003.07.11

　筆者のところには毎日30通ほどのスパム・メールが来る。内容は，「大儲けできる」「借金を減らせる」といったうたい文句の金融商品，就職／転職に関するものや，性や肥満の悩みを解決する薬・・・など。これらは世界中から来る。筆者の場合，個人で.comドメインを取得しているので，その管理者である筆者の個人情報やメール・アドレスが英語で公開されている。その情報が利用されているのだ。

　しかし，1日30通程度だし，個人のアドレスにしか来ないので，仕事に支障を来すということはない。ところが，今，米国では結構大変なことになっているようだ。例えば米Network Associatesが発表した調査結果では，米国では現在，ネット・ユーザーの半分がスパムの削除に週40分以上の時間をかけているという（関連記事）。「スパムによる米国企業が被る損害額は従業員1人当たり874ドル」といった調査結果もある（関連記事）。

　米国は今，大急ぎでスパム対策を進めているところで，あれこれ方策も練られている。大手のライバル同士が協力体制を敷くなど，大規模な取り組みも行われている。しかし，なかなか一筋縄ではいかないのが現状のようで，課題も山積みである。今回は米国におけるスパム対策の現状について見てみよう。

■スパマーとISPのイタチごっこ

　今年の4月に報じられた，「米AOL（America Online）が，合計10億通ものスパムを送信した企業と個人に対して訴訟を起こした」というニュースには驚いた。AOLサービスのクライアント・ソフトにはスパムをセンターに報告するボタン「Report Spam」があるが，同社はこれを通して会員から800万件もの苦情を受けていたという（関連記事）。

　こうしたスパム・メールを送る側（スパマー）にとっては，あて先となるメール・アドレスが必要になるが，そこでは「辞書攻撃」と呼ばれるランダムなアドレス生成方法が使われている。プログラムを使ってアルファベット順に片っ端からメール・アドレスを作るのだ。この際，当然，実在しないアドレスも大量にできるが，彼らはそんなことお構いなし。そのうち数パーセントが実在し，そこに無事メールが届けばよい。彼らはそのロスを見越して膨大な数のメールを送っている。

　こうした行為をサーバー側で食い止めようとする大手ISPの取り組みが，米New York Timesのオンライン版に掲載されていた（掲載記事，閲覧には無料登録が必要）。記事によると，ISPは，辞書攻撃が行われていることを早めに察知し，実在するメール・アドレスへの送信が始まる前に食い止めるという。そのため，ISPはユーザーの実在しないダミーのメール・アドレスを多数用意している。ユーザーがいないので当然そこにはメールなど届くはずもない。しかし実際には大量に送られてくる。それがスパムというわけだ。

　ISPはそうしたメールの内容を解析して，それぞれにある共通の傾向を見つけ出す。それをもとに，“フィルタ”を作って，ユーザーの実在する，正規のメール・アドレスに送られて来る同様のメールを取り除く。

　しかしスパマーの方も巧妙で，対抗策を考え出している。例えば，各メールに対し，少しだけ異なる無作為な文字を付加することで，（コンピュータに対し）同じ内容の大量メールでないよう見せかけているのだ。また，ISPのフィルタは特定のキーワードが含まれるメールを排除するよう設定されているので，スパマーはそれを回避するために，文字の間に数字や記号を入れたりしている。「V1agra」「d0main」「M*o*n*e*y」といった具合だ。

　これに対抗すべくISPも正常でないスペルに対してフィルタ・プログラムが反応するよう対策をとっているものの，そのフィルタの更新に毎日追われているというのが現状のようである。前出のNew York Timesの記事で，AOL社テクニカル・マネージャのCharles Stiles氏は「フィルタは今日有効でも，明日は使えなくなる。そのため，我々は分刻みの更新を行っている」と語っている。

■大手3社が協力体制，しかし周囲は冷ややかな目

　こうした状況に対処すべく，ISP事業を手がける，米Microsoft，米Yahoo!，AOL社の3社がスパム対策で協力体制を敷いた（関連記事）。3社は，業界の他の団体と協力して，技術の標準とガイドラインの策定を促進していくという。例えば，ISPのメール・サービスを利用したスパム発信の禁止，オープン・リレーと呼ばれる不正中継が可能なサーバーからのメール受信抑制，法規制の強化に向けた活動を行う。また商用宣伝メールの標準を作り，スパムと区別する技術的な方策も検討していくという。

　スパム対策に積極的に取り組んでいる3社だが，同様に対策に取り組んでいる他の企業・団体は3社を冷ややかな目で見ているという。なぜなら，現在，まん延しているスパムの大半がこれらISPのメール・サービスを使って送信されているからだ。とりわけMicrosoft社には非難が集中しているようだ。例えば，Microsoft社のインターネット・サービス「MSN」では入会後の2カ月間，メール・サービスが無料で使える。スパマーは盗んだクレジットカード番号でMSNに入会し，スパムを発信する。カードに対する課金が発生し，盗用が判明する段階になると，そのアカウントはもう使わない。こういったことが横行しているというのだ。

　「Microsoft社は目立つ場で，難しい技術のことなどウケのよいことをよく話す。しかし，それよりも前に，自社サービスの仕組みがスパムの温床となっていることを反省すべき」というのが彼らの言い分である（掲載記事）。

■法規制に向けた取り組みには問題が山積

　法規制に向けた取り組みも進んでいるようだ。例えば，今月に入って，カリフォルニア州議会の下院委員会でスパムに罰金を課すという法案が可決された（掲載記事）。また，米国議会やカリフォルニア以外の州でもスパム関連の法案が検討されている。その多くが，スパマーに対して多額の罰金を課すというもので，米国ではもはや金銭的な制裁をもって対処しないとスパムは減らないと考えているようである。

　その一方で，スパマーをどうやって捕まえるかといった技術的手法の問題やISPに対しても罰金を課すのか否かという責任範囲の問題がある。そもそも，何をもってスパムとするのかという定義も明確ではない。法規制を巡っては，まだ多くの課題が残っている。

　「スパムの定義」と言えば，たとえまったく同じメールであっても，それがスパムになったり，そうでなかったりすることがある。前述の記事にこんなエピソードが出ていた。

　昨年の11月，AOL社は，米国のアパレル大手GapがAOL会員に向けて送った宣伝メールに苦情が多いとして，送信をブロックすると警告した。これに対してGap社は，「我が社のメールはすべてユーザー承諾済みの“オプトイン”なので，スパムではない」と主張した。そこでAOL社が調べてみると，Gap社は，「自分のメール・アドレスを入力してくれた人には，商品を10％割引する」という特典を付けていたという。こうして，Gap社が集めたメール・アドレスのうち，本人のものでないものが約1／3あった。でたらめなアドレスを入力していたのだ。ところがその中には実在するアドレスも多く含まれていた。でたらめのアドレスに送られたメールの一部はスパムになってしまったというわけだ。

■個人でできる対策とは・・・

　最後に，筆者のスパム対処法の話をして終わろう。とは言っても答えは簡単。筆者はスパム自動判別・振り分け機能付きのメール・ソフトで対処している。ソフトの使い方は簡単で，まず，使い始めのしばらくの間，来たスパムに対し「スパム」スタンプを押して，ソフトに備わっている言語フィルタにそれらメールの傾向を学習させる。ある程度学習させたら後は自動モードに切り替えればよい。すると次からの着信では自動判別し，スパム・フォルダに振り分けてくれる。かなり高い精度で振り分けられるので，こうしたクライアント側での自衛手段もなかなか有効だ。

　先日，ネットで同じソフトを使っている人のコメントを見つけた。その人の場合，メーリング・リストに嫌いな人物がいて，その人物は投稿数が多く，またいつも決まった書き出しなのだという。そこで彼はそれをスパムとして学習させた。すると次からはきちんと振り分けてくれるようになったという。なるほど，クライアント・ソフトにはそんな応用編もアリなのかと思った。

◇　　◇　　◇　　◇　　◇　　◇

　考えてみれば「頼んでもいない売り込みが来て，それが煩わしい」という点では，スパム・メールは，DMやセールスの電話などと同じである。しかし，これらの場合，切手代や電話代など，発信する側にもコストがかかっており，ある意味ではフェアとは言える。彼らは郵便物の数や電話の通話時間，相手との距離に応じた対価を支払っている。だから，より効果の高い方法を模索する必要があるだろう。“無駄玉”にならないように，相手に好感を持たれる工夫も必要だ。しかし，スパムの場合，発信にかかるコストは件数や距離に比例して増えない。人の迷惑を顧みず質より量で攻めても彼らには痛みはない。

　このことを考えると，今，急速に普及しつつあるIP電話でもスパムが広がるのではないかと心配している。IP電話は安価だし，電話番号の辞書攻撃はメール・アドレスのそれよりも簡単そうだ。自動音声によるセールスも可能だろう。毎日世界中から昼夜問わず，大量の“スパム・コール”がかってきたらどうなるだろうか。今度こそ仕事ができなくなってしまう。