ソーシャルスパムに関するQ＆A

SNSなどで流通するスパムにはどのような特徴や狙いがあるのだろうか。セキュリティ研究者が一問一答形式で解説する。

[sean_sullivan，エフセキュア]

Q　「ソーシャルスパム」とは何なのか？

A　ソーシャルスパムは、リンクを広めるためにSNS、メディアやニュース関連のWebサイトを利用するスパムだ。

Q　リンク？　Facebookで見かける「何てことだ！ 父親がウェブカムで自分の娘を盗撮」といったようなことを言っているリンクのようなもののことか？

A　そう。そういったリンクだ。

Q　それで、わいせつなリンクを拡散させると、ソーシャル・スパマーにどんな利益があるのか？

A　まず、電子メールスパムがどのように機能しているかについて話をしよう。

Q　うーん……オーケー。では、電子メールスパムはどうなのか？

A　電子メールスパムは、自宅の郵便受けをいっぱいにする、現実世界のダイレクトメールや料金別納郵便に似たものだ。製品のオーナーはプロモーションしたいと考えているので、広告を配布するために誰かを雇うわけだ。ダイレクトメールの送り手（スパマー）は、配信される広告の数に基づいて、価格／レートを提供する。

Q　むしろ単純に聞こえるが。では、電子メールスパマーは、どのようにして利益を獲得するのか？

A　幾つかの方法があるが、一般に配信されるメッセージの量に応じて前払いされる。電子メールスパマーは、より良いサービスを提供しようとすることで、互いに競争しているのだ。彼らは自分達のアドレスリストが、有効な（生きた）アカウントであり、他のスパマーよりも品質が高いことを証明しようともする。

Q　では、電子メールスパムは伝統的な製品オーナーと広告者の関係ということか？

A　その通り。製品オーナーは宣伝したいため、広告者に対して支払いを行う。その広告（スパム）は、皆さんの受信簿に送信され、皆さんのアンチスパムソフトウェアが、スパムを迷惑メールフォルダにフィルタリングすることになる。

Q　ソーシャルスパムに戻ろう。リンクを拡散することは、スパマーにどのようにして利益を与えるのか？　リンクには「広告メッセージ」は埋め込まれていないし……。単なるタブロイドスタイルの見出しにすぎないではないか。そのリンクは、広告ページをオープンするのか？

A　違う（それはコメントスパムだ）。ソーシャルスパム・リンクは、ソーシャルスパムのプロセスの第一歩にすぎない。拡散したリンクの数が多ければ多いほど、スパマーにとっての潜在的な報酬は大きくなる。

Q　そのプロセスの第2のステップは何なのか？

A　スパムリンクの拡散だ。

Q　それはどのように行われるのか？

A　Webサイトの「ソーシャルな」性質を悪用することによってだ。例えばFacebookでは、あなたがスパムリンクをクリックすると、あなたに気に入ってもらいたい、あるいは許可してもらいたいページへと導かれる。

Q　気にいるか許可する？

A　その通り。そのリンクが、あなたを（facebook.comによってホスティングされた）Facebookアプリケーションに導く場合、そのアプリケーションがあなたのプロフィールにアクセスすることを許可しなければならない。もし許可すれば、同アプリケーションはあなたのプロフィールにリンクをポストし、その結果、あなたの友人とそのリンクを共有することになる。

Q　それがアプリケーションでない場合は？

A　リンクがあなたを「ページ」（オンサイトであろうとオフサイトであろうと）、そのページをプロフィールページで「Like」「Share」にするよう要請される。スパマーは「Like」や「Share」を選ばせるよう、さまざまなトリックを使用する。

Q　どんなトリックを？

A　クリックジャック攻撃などだ。ページは不可視のフレームを使用して、そのことに気づかせることなく、人々に「likeボタン」をクリックさせようとする。

Q　では、ページを気に入ったとしたり、共有したりすると、そのリンクが拡散するということか……。スパマーのために貢献しているということか？

A　その通り。

Q　でも、ページではなくアプリケーションなら、アクセスを許可しなければならないのか？

A　そうだ。そしてFacebookは前もって明瞭な警告を与える。

Q　他のWebサイトはどうなのか？

A　Twitterアプリケーションも、アプリケーションを追加する前にユーザーに警告する。Twitterは2010年8月の末にOAuthにスイッチし、その結果、ユーザーのパスワードは現在ではサードパーティー・アプリケーションと共有されないようになっている。

Q　では、ソーシャルサイトを模倣した外部ページを除いて、アプリケーションをコントロールできるか、制御できるか、あるいはどちらもできるのだから、それらを防ぐことができるのでは？

A　それは難しい問題だ。ソーシャルサイトは、共有するよう設計されている。だからこそソーシャルなのだ。ますます多くの正当なページが、毎日のように気に入ったとされ、共有され、ツイートされている。スパムページがシェアされないようにする唯一の方法は、全ての共有をブロックするか、当然、そのWebサイトからのページを削除することだ。

Q　では何が行われているのか？

A　フィルタリングだ。ソーシャルサイトは自分達のコミュニティーが、スパムを報告してくれることをあてにしている。TwitterもFacebookも、「スパムとして報告」オプションを有している。そして彼らは、バックエンドでアンチスパムテクノロジーを使用している。

Q　ステップ2は拡散だが……。なぜそのプロセスはなじみのあるもののように聞こえるのだろうか？

A　電子メールワームと類似しているからだ。

Q　え？　電子メールワーム？

A　そう。電子メールスパムは、メッセージ本文か添付ファイルに広告を含んでいる。電子メールワームは多少異なる。これらはメッセージにバイナリのペイロードを付加していたが、アンチウイルス企業ははるか昔に、そのような添付ファイルをフィルタリングすることを学んだ。

Q　それで？

A　それでこのごろでは、悪意ある添付ファイルはフィルタリングされてしまうので、電子メールワームはエサとしてリンクを使用している。受信者がメッセージ内のリンクをクリックすると、悪意あるペイロードを提供するWebページへと導かれる。そのペイロードのミッションには、受信者がメールをやりとりしている相手の連絡先を盗むことも含まれているため、連絡相手も脅威に晒される可能性がある。

Q　ソーシャルスパマーはこのプロセスを考案しなかったのか？

A　いや、とんでもない。リンクでおびき寄せる全プロセスは、電子メールから進化したものだ。

Q　それでソーシャルスパムは、「ワームへのリンク」を介して広がるのか？

A　そう、だいたいそのような考え方だ。

Q　オーケー。ステップ1と2は、電子メールワームのように拡散するが、ゴールは電子メールスパムにより似ているわけだ。ステップ3は何なのか？　父親と娘のウェブカムビデオを見るようになるのか？

A　それはステップ2がアプリケーションか、ページか（例としてここでもFacebookを使用している）による。

Q　ステップ2がアプリケーションを許可するとどうなるのか？

A　次にスパムアプリケーションは、あなたの情報を収集するお返しとして、そのビデオ（あるいは他の何か）を提供することが多い。

Q　どんな情報を収集するのか？

A　あなたが何を許可しているのか次第だ。基本的な詳細情報かもしれないし、アプリケーションがあなたに電子メールを送信する許可や、あなたのFacebookページの管理かもしれない。（Twitterアプリケーションは、あなたのアカウントに他をフォローさせたり、それらの人々のリンクをリツイートさせる。）

Q　それで？

A　それでソーシャルスパマーは、商品として売り物になる情報を獲得するわけだ。上で述べたことを思い出してほしい。

Q　電子メールスパマーは、より良いサービスと有効なリスト提供することで、互いに競争している？

A　その通り。有効なリストを作るのに、FacebookのようなSNSよりも良い方法はあるだろうか？　ナマのメールアドレスが獲得できるばかりでなく、年齢や性別、嗜好や興味も分かるのだ。結局のところ、25歳の女性にバイアグラスパムを送ってもほとんど意味はないのだから……。

Q　素晴らしい商品のようだ。その情報で他にどんなことができるのか？

A　最悪のシナリオは、ID窃盗、もしくは恐喝のために利用されることだろう。

Q　そういうことは起こり得るのか？

A　可能だが、おそらく起こらないだろう。われわれがスパマーフォーラムで得た情報によれば、スパマー達は手っ取り早い金もうけに関する広告を作成することが多いようだ。

Q　オーケー、ではまたステップ2に戻ろう。ステップ2がページだった場合はどうなのか？

A　この部分は少々複雑だ。

Q　複雑？

A　そう。ソーシャルスパムリンクがページにリンクしているなら、そのページは一般的に、ある種のCost Per Actionアフィリエイト・マーケティング・ネットワークを利用している。

Q　Cost Per Actionアフィリエイト・マーケティング・ネットワークとは？

A　まず最初に、アフィリエイト・マーケティングについて考えてみよう。以下はWikipediaの記事の一部だ。「アフィリエイト・マーケティングは、企業が1人以上のアフィリエイトに、アフィリエイト自身のマーケティング活動によってもたらされたビジターもしくはカスタマに対して、報酬を支払うマーケティングプラクティスである。」

Q　アフィリエイトは、広告のために前もって支払いは受けないのか？

A　その通り。アフィリエイトは、大量の広告を売っているわけではない。そうではなく、彼らは製品オーナーへのトラフィックを促進しているのだ。製品に対してより多くのトラフィックを誘導できればできるほど、彼らはより多く稼ぐことができる。製品オーナーはこのマーケティング手法を好む。結果が出る前に前もって支払いを行う必要がないからだ。

Q　そして、アフィリエイト・マーケティング・モデルはスパマーによって利用されるのか？

A　そうだ。残念なことにアフィリエイト・マーケティングは、スパマーによって容易に悪用される。

Q　何でそれが合法なのか？

A　なぜなら、アフィリエイト・マーケティングを実行するのに多くの合法的な方法が存在するからだ。Groupon（groupon.com）を例に取ってみよう。Grouponが提供する商品に対して、特定の数の人々が申し込むと、その取引は申し込んだ全員に対して有効となる。だが、予定されていた最低人数に達しないと、誰もその取引を完了することができない。Grouponユーザーは、一種のアフィリエイトの役割を果たしている。もしも彼らがマーケティングの仕事をしており、そのオファーを仲間と共有し、十分な人数が申し込むなら、その会社は取引を認可する。

Q　良いアフィリエイト・マーケティングと悪いアフィリエイト・マーケティングがあるため、法律を制定するのはかなり難しいということか？

A　そうだ。

Q　オーケー。それでソーシャルスパマーはアフィリエイト・マーケティングの形式を利用しているわけだ。それでCost Per Action（CPA）アフィリエイト・ネットワークとは何なのか？

A　アフィリエイト・マーケティング・ネットワークは、一種の「スーパー・アフィリエイト」のようなものだ。アフィリエイト・マーケターは、発生したリードの量に基づいて、段階的な割合で支払いを受ける。1人だけでは、一般的に、より高いパーセンテージの段階には到達できない。アフィリエイト・マーケティング・ネットワークは、個人が、より多くの量を生む集合的なアフィリエイトの役割を果たすことを許しており、ネットワークメンバーにより高い支払いが行われる。

Q　それでCPAとは？

A　CPAは一般的に、リードの可能性から何かを獲得しようとするものだ。

Q　では、ページが気にいられたり、共有されたりした後、ステップ3で何が起こるのか？

A　スパマーは、小さな「アンチ・ボット」テスト（アクション）の実行後、ビデオ（あるいは何か）を見せると約束する。スパマーたちはそれを、「CAPTCHA」もしくはあなたが人間であることを確認するための手順だと主張する。

Q　そしてこれが、望みのものをスパマーが獲得する時なのか？

A　そうだ。この時点で、JavaScriptフォームが開き、その人物が人間であることが証明されたことに対して、「スペシャルオファー」が与えられる。

Q　どんなスペシャルオファーなのか？

A　Webブラウザ用の検索ツールバーをダウンロードとか、クーポンを受けとるために有効な電子メールアドレスを提供するといったシンプルなものであることが多い。あるいは、高額なSMSベースの会費制サービスに巧みに申し込みさせる、といった可能性もある。

Q　その時点でスパマーは金をもうけるということか？

A　そうだ。行動を完了し、製品オーナーに「リード」を提供したそれぞれの人たち1人につき、アフィリエイト／スパマーは1ドル以上稼ぐことができる。

Q　1ドル以上？　それは良い稼ぎだ。

A　そう。稼ぐのにほとんど労力がかからないのだから。

Q　それで、これら全ては、詐欺と考えられるのか？

A　詐欺は強すぎる言葉だろう。

Q　しかし、このようなことを詐欺と呼ぶセキュリティベンダーもいるが。あなた方はそうは思わないのか？

A　詐欺は、強すぎる言葉だろう。詐欺というのは「Advance Fee Fraud（前払い詐欺）」、すなわち「あなたは英国の宝くじに当選されました！　なんとかかんとか.comのLottoUKに連絡を」といったもののことだ。

Q　それでこのCPAスパムは何なのか？

A　これは詐欺的マーケティングのカテゴリに該当する。

Q　では、なぜ一部の人々は、Facebook詐欺についてブログに書き続けているのか？　宣伝なのか？

A　その人たちに聞いてほしい。

Q　では、それが詐欺的マーケティングなら、それについてできることは何か？

A　政府の監査機関が参加すべきだ。例えば、フィンランドでは、（フィンランド語に）ローカライズされたFacebookスパムのケースは、フィンランドの消費者保護局により解決された。F-Secureはマスコミに詳細を伝え、マスコミあるいは犠牲者、あるいは両者が、SMSによって申し込むサービスのベンダーを詐欺的であると報告した。そのSMSベンダーに支払い請求サービスを提供した地元の企業は、スパム実行に伴う全ての訴えを覆した（2回目の訴えは起きていない）。

Q　米国はどうなのか？　詐欺的なアフィリエイト・マーケティング・スパムと戦う方法は、米国にはあるのか？

A　以前、実行されていた。2006年、アドウェアベンダ（Hotbar）のZangoが、彼らをビジネスから締め出すFTC（連邦取引委員会）の調査に直面した。市民擁護団体が、Zangoが不当で詐欺的なビジネスプラクティスに関与しているとして、2件の公式な不服を申し立てた。

Q　では、FTCが2011年に目を向けるべき企業はどこか？

A　リストには、CPAlead（cpalead.com）、PeerFly（peerfly.com）およびAdscend Media（adscendmedia.com）が含まれている。

Q　Facebookが3人のスパマーに対して起こした、最近の訴訟はどうか？

A　実際、これら3つの訴訟の1つは、CPAleadのCTOであるジェイソン・スワンに焦点を合わせたものだ。同訴訟では、CAN-SPAM条例が引用されており、これら3つの例に偽の、あるいは詐欺的なサービスが提供されたケースが含まれている。例えば「Facebook Gold」アカウントだ。そのようなものは存在せず、FacebookはCAN-SPAM条例のもとで、被告は有罪であると主張している。

Q　しかし、ほとんどのソーシャルスパムは、最終的には約束していたビデオ（か他の何か）をオープンするのではないか？

A　そうだ。それはほとんどの場合、YouTubeからの再利用コンテンツにすぎないが、全3ステップが完了されていれば、そのリンクは約束を果たすことはする。だから、これら3つのケースは興味深いが、ソリューションというよりはむしろ、スパマーへの警告に近いように見える。CAN-SPAM条例が当てはまるのかどうか（しかし、裁判官に提示する価値はある）、われわれには分からない。

Q　もう一度まとめるが、ソーシャルスパムに関連するステップは何なのか？

A　ステップ1として犠牲者がリンクをクリックする。ステップ2として彼らはアプリケーションもしくはページを、気に入った／共有するとするか、許可する。ステップ3として犠牲者はCost Per Actionオファーを完了する。そして彼らはYouTube（もしくは別のところ）で、自力で見付けられる古いコンテンツにより、「報いられる」。

Q　ソーシャルスパムはどれだけ効果的なのか？

A　非常に良い質問だ。2009年、ソーシャルスパムはハッキング／フィッシングされたアカウントにより発生した。2010年には、スパムリンクをばらまくために、スパマーにより他の方法が開発された。2010年夏までには、スパムリンクは何十万ものクリックを発生させた。

Q　ソーシャルスパムリンクは、まだクリックされているのか？

A　人々がこのプロセスについて知識を持つにつれて、クリックレートは下がっている。全てのリンクの効果は、ますます下降線をたどっている。しかし、クリックレートと支払金額は、ソーシャルスパマーの方が電子メールスパムよりもかなり高い。

Q　ソーシャルスパムは電子メールスパムと同じくらい、大きな問題となるのか？

A　電子メールスパムはインタラクションを必要としない。スパマーは単に、スパムフィルターを回避する試みに、できる限り力を注げば良い。

　ソーシャルスパムは一般的に、人間のインタラクション（副次的なWebサイトの脆弱性を除いて）を必要とする。ソーシャルスパムはインタラクティブなので、できることが存在する。FacebookとTwitterは、ユーザー経験を改善し、自分たちのコミュニティーがスパムに気付き、避けることを援助するよう、絶えずUIを再設計している。そしてSNSは絶えず進化しているため、ソーシャルスパムの性質もまた進化している。

　ソーシャル。スパムはおそらく、Webサイトの機能を利用して、今後も常に存在するだろうが、電子メールスパムのように徹底的に、システムを悪用することはほとんどないだろう。電子メールスパムをフィックスする唯一の方法は、電子メールプロトコルをフィックスすることだ。FacebookおよびTwitterスパムは、必要に応じて両サイトが対処することができる。

Q　最後に、SNSを介した、他のタイプのスパムは存在するのか？

A　存在する。成人向けの出会い系サイトやサービスをプッシュする偽プロフィールスパムだ。しかし、それはまた別のQ＆Aとなる。すべての画像をソートしたら（誰かがしなければならない）、この問題に戻る予定だ。

セキュリティの最前線はエフセキュアブログで

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら