日曜日, 5月 27, 2007

バウンシングバック認証の破り方

 「バウンシングバック認証でスパムの阻止率100%。スパムを受信したら返金します」と豪語されると、スパマーは、なんとか破って鼻をあかしてやりたくなるだろう。
 もちろん、スパムに対するバウンシングバック認証メールをまともに受けて、手作業でキャプチャ認証を通過してスパムを送り込むことはできるが、そんなちまちました方法でなく、もう少し大がかりに破る方法がある。
 たくさんのPCにウィルスかスパイウェアかボットを仕掛けて、やり取りしているメールのアドレス情報を盗み出す。そして、From、To、CCから送信者と受信者の関係を解析する。そこから、白やぎさんと黒やぎさんが互いにメールをやり取りしていることを把握する(それは、第三者が保管していたメールからも知られうる)。そうしたら、白やぎさんのアドレスをかたって黒やぎさんへ、黒やぎさんのアドレスをかたって白やぎさんへ、たくさんのゾンビPCからスパムを送り込むのは、やりたい放題である。完璧に見える防御策は、弱点が見つかってしまえば案外もろいものである。
 ウィルス対策ソフトを使っているからウィルスやスパイウェアやボットは自分には無縁だと思っている人がいるかもしれない。しかし、悪意のあるウェブサイトにアクセスしただけでスパイウェアが仕込まれるおそれはある。それに、たくさんのPCがボットに感染してスパムの発信源になっている。それらのPCがやり取りしているメールのアドレス情報を、特定のサーバにアップロードさせるなどして収集すれば、それらのPCの使用者たちだけでなく、その知人、さらにそのもう一つ先の知人までメールのやり取りの関係を把握できてしまう。
 これに対抗するには、ホワイトリストに送信元サーバのIPアドレスも登録するという方法が考えられる。しかし、送信側サイトのメールサーバが複数あると、送信者は、自分を完全に認証してもらうまでに、送信サーバの台数と同じ回数だけバウンシングバック認証要求に応じなければならない。バウンシングバック認証をやっているサイトは不評を買うことになるだろう。
 バウンシングバック認証なんか使わない方がよい。まして、生半可な考えでインプリメントしてはならない
 もっとも、日本の企業や学校には広まりはしないだろう。良識あるメールシステム管理者や経営者なら、企業ではお客様やこれからお客様になってくれるかもしれない人に対して、学校では学外の偉い先生に対して、バウンシングバック認証のメールを送り付けて手間をかけさせるのは失礼だとわかるだろうから。

(7月1日追記)
 佐藤さんのブログ記事で、別の破り方が提案された。楽天、ヤフーオークション、まぐまぐなどのメジャーなショッピングモールやメールマガジンサービスからメールを受信している人は少なくないと見込んで、それらの送信者アドレスをかたったスパムを送り込むという方法。メールマガジンなどを受信するには、バウンシングバック認証なしで受信するための別アドレスであるエクスパンションアドレスを使う方法があるが、そんな巧妙な方法よりも、ペンディングキューからメールを拾い出してホワイトリスト登録する単純な方法を選ぶユーザーが多いだろう。そういうユーザーが標的になる。グッドアイデアだと思う。

0 件のコメント: