現在地 HOME > 掲示板 > IT1 > 934.html ★阿修羅♪ |
|
エンタープライズ:コラム 2003/09/03 11:07:00 更新
Opinion:スパム対策最大の課題はその定義にあり
http://www.zdnet.co.jp/enterprise/0309/03/epn02.html
最近収録されたTV番組で、スパムの定義に関して意見の一致を見ようとい
う試みがなされた。しかし、スパム問題の最大の課題は、スパムの定義に
関して意見がまとまることはないことだ。
チャーリー・ローズ氏は、異論の多いスパム対策に話題が及ぶと、知っ
てか知らずかほおを紅潮させた。このトピックスをテーマにしたTVトーク
ショーの『チャーリー・ローズショー』の収録を行った際、ローズ氏が最
初に示した方向性は、スパムの定義に関することだった。ローズ氏は私に
向かって、「デイビッド、スパムが何かという点に関して、われわれが意
見の一致をみるように助けてくれ」といった。
私は、スパムを定義しようとする試みを捨てない限り、スパムとの戦い
において何も進展しないだろうとかなりの間主張し続けてきた。現在、ス
パムを定義するものはなく、単一の定義に対応するソリューションに依存
しているが、これは大きな間違いだ。ISPが個人顧客や法人顧客のメール
ボックスを保護するために用いているソリューションをはじめとして、現
在、ほとんどのソリューションがこのアプローチを取っている。
残念ながらローズ氏は、最初に私を指名して定義を述べるように言った。
もしローズ氏が私を指名したのが、Microsoftの主任顧問弁護士であるブ
ラッド・スミス氏や、米連邦取引委員会(FTC) 委員長のオーソン・スウ
ィンドル氏、AOLの上級副社長であるジョー・バレット氏といったほかの
ゲストの後だったら、私はもっと簡単に主張のポイントを示すことができ
ただろう。ゲストは全員、それぞれ異なる定義を披露した。
Microsoftが起こした15件の対スパム訴訟で陣頭指揮を執るスミス氏は、
スパムを「頼まないのに送られてくる商業的なメールで、製品やサービス
を宣伝したもの」と定義した。AOLのバレット氏によるスパムの定義は、
「所望されていない自動化されたメッセージ」だ。最後にローズ氏の質問
に答えたFTCのスウィンドル氏は、スパムを「私が好きではないものすべ
て」と定義した。3つの定義のうち、私のお気に入りはこの「スウィンド
ルルール」だ。スウィンドル氏は、スパムという問題について、私が知っ
ているたいていの人よりも理解している。スウィンドルルールは、「問題
解決のためには、エンドユーザーが自分にとって何がスパムで何がスパム
ではないのかを決定する権限を与えられるべきだ」という同氏の考えの多
くを代弁するものだ。スウィンドル氏はそのTVのトークショーで、次のよ
うな発言をしている。「消費者が、自分が望まないものを自分のコンピュ
ータで排除できれば、問題の一部は解決するだろう。そして、選別はさま
ざまな方法でできるはずだ」(スウィンドル氏)
私の解釈は、電子メールを目的の受信者に届く前に遮断するISPのやり
方をはじめとする中央集権型ソリューションは、選別のための決断を下し
たところでそれがユーザーのためにはなるわけではないということだ。そ
れが現状なのだ。目的地に到達するまでのいずれかの経由地点で、電子メ
ールをフィルタリングする決定が下される前に、その経由地点の管理者は、
すべてのユーザーに代わってスパムの共通定義を決定しなければならない。
そのアプローチには欠陥がある。なぜなら、スウィンドルルールが定義す
るように、スパムはエンドユーザーが好まないものすべてであるからだ。
オーソン・スウィンドル氏にとってのスウィンドルルール(好まないもの
すべて)は、チャーリー・ローズ氏、あるいはブラッド・スミス氏、ジョ
ー・バレット氏にとってのそれとは異なるだろう。
ブラッド・スミス氏は、明らかにUCE(Unsolicited Commercial E-mail、
頼まないのに送られてくる商業的なメール)が嫌いなようだ。傍注として
付け加えると、特にUCEに注意を集中させているCAUCE(Coalition
Against Unsolicited Commercial E-mail、迷惑メール防止連合)という
団体が存在している。スミス氏の定義は理解しやすい。
Microsoftがスパマーを訴えているように、あるグループが別のグルー
プを訴えるとき、原告は通常、何らかの形で被告に損害賠償を求める。
Microsoftの場合、同社は、金銭的損害賠償と差し止めによる救済を求め
ている。驚くまでもないが、スミス氏によるスパムの定義には「商業的な
メール」という言葉が含まれている。法律家にとってみれば、訴訟の対象
とするスパマーは、それで金儲けをしている人というわけだ。頼まないの
に送られてくる商業的なメールは、間違いなく大量の望まない電子メール
の一部を構成している。商業的なメールの配信者を特定しても、われわれ
はまだ非商業的な電子メールに対して脆弱だ。私にとってのスウィンドル
ルールに該当する電子メールの種類は、UCEだけではない。例えば、ほか
のUCEよりも危険をもたらす可能性が高い、ウイルスに感染した電子メー
ルも、私にとってはスウィンドルルールに該当する。
「所望されていない自動化されたメッセージ」というバレット氏の定義
も、解釈を限定する「自動化された」という言葉を含んでいる。「所望さ
れていない」という言葉までは、バレット氏は妥当な線を行っていた。し
かし、「自動化された」という言葉が出た途端、ISPが前述の経由地点で
行っている1つの決断が垣間見えた。AOLやYahoo、MSNやEarthlinkなどの
ISPのシステムには、膨大な量の電子メールが流れ込んでくるため、これ
らISPは電子メールを比較して、どれが自動化されていてどれが自動化さ
れていないかを決定できる立場にある。
例えば、ある程度自動化せずに、同一の電子メールを2分ほどで1万件の
アカウントに向けて送信できる人間はいない。このパターンを見つけるた
めの、ヘッダや本文、タイムスタンプの分析といった技術を設計すること
は難しくない。しかし、それらの技術が確実でない場合に備えて、主要な
ISPはついに、こういった知識を共有するために協力するようになった。
バレット氏の定義はスミス氏のものほど狭義ではないが、スウィンドル
ルールほどすばらしいとは言えない。例えば、自動化された電子メールを
探す捜査に、ウイルスにより自動化された電子メールが引っかかった場合
はどうなるだろうか? 有能なプログラマー、特にウイルスを作成するほ
ど根気強いプログラマーならば、自動化された電子メールを探すために設
計されたシステムを容易にだますことができるだろう。
もちろんそれは、われわれが今のような混乱にある理由の1つだ。いわ
ゆる「スパマー」と呼ばれる人たちは常に、スパム捜査コミュニティの一
歩先を行っているようだ。悪賢いウイルス作成者だけではなく、チェーン
レターや政治的なメッセージ、ジョーク、(SMTPのオーバーフローによる)
電子メールのDOS攻撃を広める輩もいる。また、「逆スパム」と私が呼ぶ
タイプもある。スパマーがあなたの電子メールアドレスをリターンアドレ
スとして利用するために、あなたのメールボックスに返信されてくる電子
メールのことだ。これらはすべて、商業的なものではないし、困った行為
としか思わない人もいれば、このようなスパマーたちの送信を、望まない
メールというスウィンドルルールに該当するメールと同じグループに入れ
る人もいるだろう。
スウィンドルルールはとて簡単な規定だ。そして、法的かつ技術的なソ
リューションを求める上での指針として用いるべきだ。
技術および立法に関するコミュニティーは、(矛盾する定義でスタート
している)矛盾するソリューションの寄せ集めでスタートするのではなく、
エンドユーザーが自分の望まないメールを拒否できる信頼できる方法を探
る必要がある。そして、そこから積み上げて行くべきだ。この取り組みは、
電子メールの出所を決定する確実な方法が必要で、これにはインターネッ
トの電子メール標準であるSMTP(simple mail transport protocol)の証
明書レベルでの作業が必要となる。これは、さまざまな方法で実現可能だ
ろう。その1つに、DNS考案者のポール・モッカペトリス氏が最近提案した
DNSSECという仕様も含まれる。
かなり高いレベルの信頼性で、電子メールがどこの誰から送られてきた
のかを決定できるようになれば、スウィンドルルールでスパムと戦うため
の画期的な飛躍をしたことになる。スパムは、望まない電子メールという
だけではない。メールを受け取りたくない人からのメールである場合が多
い。もちろん、例外もある。私の電子メールシステムがウイルスで犯され
てアドレス帳を這い回り、私の名を騙ってあなたにメールを送りつけたの
ではない限り、私からのメールを受け取りたいと思うかもしれない。もし
私があなただったら、このようなことが起これば、私のシステムが完全に
安全だという確信を得られるまでは、私との関係を断つだろう。
関係を断つといえば、受取人が送信人との関係を断つメカニズム――現
在、「オプト・アウト」というあいまいな言葉で呼ばれている――は、送
信人に決定を任せるべきではない。このメカニズムは、電子メールプロト
コルに組み込まれるべきだ。そして、電子メールクライアントのメニュー
に「送る」というコマンドがあるように、「関係断絶」コマンドを入れる
べきだ。しかし関係の断絶は、不正操作がきかない証明書が電子メールに
付随しているかどうかに大きく依存する。適切な証明書が付いていない電
子メールは違法とするか、単に電子メールシステムから拒絶されるように
すべきだ(多分、どうすれば証明書が標準に準拠するかという方法を送信
者に指南する自動返信という形をとるだろう)。証明書を不正操作しよう
とする行為は、違法としなければならない。これまでのところ、スパムを
定義しようとするメカニズムは存在しないのだ。
つまり、ローズ氏がオープニングで尋ねた、スパムが何であるかについて
意見をまとめる質問に対する私の答えと同じだ。「それこそが最大の問題
だ。スパムが何であるかについて一致した意見はない」。
それに、同意などするべきでもないのだ。
原文へのリンク
[David Berlind,ZDNet/USA]