ニュース
» 2004年06月15日 15時04分 UPDATE

スパマー対抗の新たな武器に取り組むFTC

FTCはスパムメールのURLを手掛かりに、金の流れからスパム業者を追跡する一方で、安全でないメールサーバを識別するためのオープンリレープロジェクトなど、新たな武器を磨いている。(IDG)

[IDG Japan]
IDG

 米連邦取引委員会(FTC)は今週、「Do Not E-Mail(スパム拒否)」リストの有効性に関する初めての調査結果を発表する。これは、電話セールスの抑止策として人気の「Do Not Call(セールス電話拒否)」リストのメール版だ。FTC消費者保護局(BCP)のハワード・ビールズ局長によれば、同委員会にとってスパムは依然として最優先のIT検討課題だという。同氏は最近サンフランシスコで開催されたInternational Association of Privacy Professional(IAPP)のTruste Symposiumで講演し、スパム法とプライバシーポリシーの施行をめぐる問題について語った。

金の流れをたどる

 ビールズ氏によれば、スパムは法律での規制が難しく、FTCがこれまで直面してきた中でも最も難しい問題だという。スパム業者はメールアドレスを隠し、どこの誰から送られてきたメッセージであるかを簡単に偽れる。また、たとえ反応がわずかだとしても、スパムはコスト的には十分に採算が取れる。

 「われわれのワークショップではあるスパム業者が、1万件に1件しか反応がなくてもスパムは儲かると語っていた」と同氏。

 FTCによれば、スパムの3分の2は詐欺的または虚偽的で、法律に違反している。残りのスパムはポルノや処方薬の宣伝だ。合法なものを提供しているスパムは全体の16%程度にすぎないとビールズ氏は推定している。

 ビールズ氏によれば、FTCはメールのURLを手掛かりにスパムの追跡を試みている。

 「われわれはお金の流れをたどっている。召喚令状を出せば、そのURLでどのような支払い方法が使われているかが分かる。通常は6回ほど召喚状を出したあたりで、実在の人物を見つけられる」と同氏。

 だが、その成果は乏しい場合が多いという。スパムの追跡には前もって莫大なリソースを投じなければならないが、それに見合ったターゲットに到達できるケースは少ない。大半のスパム業者は小規模で運営されている。実際、FTCが114件のメッセージを対象に行なった調査では、Fortune 1000社規模の企業からのメッセージは1件のみだった。

 それでも、新たに成立した迷惑メール対策(CAN-SPAM)法や、議会および市民らの苦情を後ろ盾に、FTCはスパムに対する新たな武器を開発中だ。

 FTCが開発しているのは、セキュアでないメールサーバを識別するためのオープンリレープロジェクトだ。またビールズ氏は、スパム業者の匿名性を阻止するための世界規模のキャンペーン「Operation Secure Your Server」にも言及した。

 一方では、法律の強化が解決策になると指摘する声もある。

 IBMのエンタープライズプライバシーソリューション担当プログラムディレクター、スティーブン・B・アドラー氏は次のように語っている。「これだけ多くのスパムが存在するのは、警察が本来の役割を果たしていないからだ。これはメールによる詐欺行為だ。スパムを規制したいのであれば、必要なのは発信者IDではなく、法律の強化だ。スパムで得られるうまみよりもさらに高く付くような罰則を定めるべきだ」

プライバシーの促進

 スパムは、FTCのもう1つの優先課題であるプライバシーにも関連する問題だ。FTCには、組織にプライバシーポリシーの実装と遵守を徹底させる責任がある。

 「セキュリティはプロセスだ。新たな脅威は常に誕生している。企業は脆弱性に応じてセキュリティ対策を更新するシステムを整える必要がある。そのプロセスにおいて脆弱性を増さないようにすることが重要だ」とビールズ氏は語っている。

 同氏は、システムのアップグレードの後に認証コードの手続きを忘れたために、一時、購入関連の情報を誰もがアクセスできる状態にさらしてしまったTower Recordsの最近のケースに言及した。

 ビールズ氏によれば、セキュリティ対策で手を抜くのは浅はかなだけでなく違法だという。

 「詐欺的な商行為や公正を欠く商行為は違法だ。セキュリティが不十分な場合には、契約も詐欺的だとわれわれは考えている」と同氏。

 Computer Associatesのセキュリティ・プライバシー・トラストイニシアティブ担当マネジャー、ジョン・T・サボ氏によれば、セキュリティに関しては、ツールが不十分なのではなく、そうしたツールが正しい形で実装されていないのが問題なのだという。

 「セキュリティはプライバシーの構成要素の1つだが、われわれはまだこの問題に業界全体で取り組んでいない」と同氏。

 一方、標準が答えではないと指摘する声もある。

 IBMのアドラー氏は、「IBMでは多くの研究を行なっているが、実際問題なのは実装が不足している点だ。足りないのは標準ではなく実装だ」と語っている。同氏によれば、必要なのはむしろ、プライバシープロジェクトに対する取り組みの強化と資金の増強だ。

 「プライバシーの問題には十分な資金が当てられていない」と同氏。同氏によれば、企業はこのリスクをまだ自分たちには関係の薄いことととらえ、「自分たちに起きる問題とは考えていない」のだという。

Copyright(C) IDG Japan, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -