| IT総合情報ポータル「ITmedia」 | ITとビジネスのニュース専門サイト「ITmedia News」 | 企業のためのIT情報サイト「ITmedia エンタープライズ」 | IT製品導入支援サイト「TechTargetジャパン」 | 経営者とCIOのコミュニティー「ITmedia エグゼクティブ」 | PCとMacの専門サイト「ITmedia +D PC USER」 | 携帯、スマートフォンの専門サイト「ITmedia +D Mobile」 | 電子書籍の専門サイト「ITmedia eBook USER」 | デジカメの専門サイト「ITmedia デジカメプラス」 | AV機器の専門サイト「ITmedia +D LifeStyle」 | 旬なモノネタ「ITmedia ガジェット」 | ニコ生、Ustreamの動画番組表「ライブガイド」 | ビジネスブログ・メディア「ITmedia オルタナティブ・ブログ」 | ちょっと気になるネットの話題「ねとらぼ」
2007年04月09日 05時00分 UPDATE
特集/連載

ColumnCAN-SPAM法の功罪――スパム撲滅のためにすべきこと

米国のスパム対策法成立から3年。スパムは数年で姿を消すだろうというゲイツ氏の予想が的中しなかった原因はどこにあるのか。

[Joel Dubin,TechTarget]
共有する
プリント/アラート

 米国議会でCAN-SPAM法(スパム対策法)が可決されてから3年がたつ。同法の成立後間もなくMicrosoftのビル・ゲイツ会長は、スパムはあと数年で姿を消すだろうと予想した。そう思っていたのはゲイツ氏だけではなかった。

 結局、CAN-SPAM法は業界のためになったのだろうか。CAN-SPAM法が施行されてから電子メールは一層危険になったという説もあるが、電子メールの危険が増したのはスパム技術の変化と詐欺メールが原因だとわたしは思う。技術の変化は法律とは無関係で、同法が成立したかどうかにかかわらず起きていたはずだ。しかし、CAN-SPAM法の効果が出ていないことは一目瞭然だ。その4つの理由を以下に挙げる。

1. スパムを法律で葬り去ることはできない

 理由としてまず第1に、スパムは法律問題ではなく、米国の法律で解決できる米国特有の問題でもない。発信元の国だけでなく、あて先となった国すべてに影響を及ぼす世界的な問題なのだ。

2. CAN-SPAM後もスパムの内容に変化なし

 バイアグラや格安の医薬品の売り込みはなくなりそうにない。長い間スパムの中心だったポルノは減ったが、すぐさま株価を意図的に操作する証券詐欺に取って代わられた。この手口ではスパム業者が詐欺目的で株式を売り出し、出来高と株価を膨らませた後、売り逃げして利益を稼ぐ。

3. スパム増加を招いた技術の変化をCAN-SPAMでは予想できなかった

 特に画像スパムとボットネットが台頭している。現在の推計でスパムの3分の2は画像に組み込まれ、怪しいテキストのみの検出を想定したフィルタをかいくぐってしまう。スパムの配信を担うボットネットは犯罪者の間で売買され、これを使って大量のスパムが送信されている。

4. スパムがもうかる商売であることに変わりはない

 郵便のジャンクメールと違ってスパムには切手がいらない。ほとんどのスパム業者は帯域幅を盗み、SMTPリレー経由でほかのサービスに手を伸ばしたり、ボットネットを使っているため、おそらく電子メールサービスの経費さえ掛からない。従って、数百万通もの典型的なスパムで釣られるのがごく少数だとしても、これを生業としている悪意あるハッカーはかなりの稼ぎを出すことが可能だ。

厳格な規制

 もっとも、CAN-SPAM法でスパムの量は減らなかったかもしれないが、プラスの効果も幾らかあった。第1に、まっとうな米国企業が電子メールを大量送信する場合、以下の厳格な要件を満たさなければならなくなった。

  • 電子メールヘッダで「From」と「To」のアドレスおよびドメインは正規のものでなければならない
  • 件名が詐欺的であってはならない
  • それ以降のメール受信を停止するオプトアウトのやり方を提示しなければならない
  • 配信元の企業の正しい住所を電子メールに明記しなければならない

 CAN-SPAM法は、米国内外の多数の犯罪行為を解決する一助にもなった。例えばCAN-SPAM法の制定後、米国で活動している悪徳スパム業者が多数逮捕され、違反した企業には罰金が科せられた。

 しかしこうした取り組みにもかかわらず、受信箱はいまでもスパムでいっぱいになる。一体これはどこから来るのだろうか。米国のスパム業が大幅に規制されても、CAN-SPAM法で米国外のスパム業者を食い止めることはできない。同法を受けて、多くは米国内にわざわざ物理的な拠点を置かず、単純に米国外に拠点を設けた。推定によると世界のスパムの少なくとも半分はロシアとウクライナから送信され、中国と韓国も台頭しつつある。

スパムの現在と未来

 現在、世界の電子メールの推定90%以上はスパムだ。量があまりにも増えたため、通信手段としての電子メールの有効性を脅かすほどになった。また、ユーザーに電子メールで買い物やアカウントの変更を通知するWebベースのビジネスを脅かす存在にもなっている。こうしたユーザーは疑い深くなり、一部フィッシング攻撃も含む大量のスパムを受信して、電子メールへの信頼を徐々に失い始めている。

 ではスパム撲滅のためにはどうしたらいいのか。確かなことが1つある。CAN-SPAM法のような法律ではだめだということだ。スパムを発生させているボットネットの撲滅と、ISPによる電子メールゲートウェイの監視強化が必要だ。ボットネットの屋台骨をたたくためには情報セキュリティ業界と捜査当局が力を合わせ、現存するハッキング取締法――CAN-SPAM法ではなく――で武装することが求められる。

本稿筆者のジョエル・デュビン氏は、CISSP(公認情報システムセキュリティプロフェッショナル)資格を持つ独立系コンピュータセキュリティコンサルタント。Webとアプリケーションのセキュリティを専門とし、セキュリティ分野のMicrosoft MVPを受賞している。「The Little Black Book of Computer Security」の著書がある。

関連リンク

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

共有する
プリント/アラート