アプリケーションスパムに勝つ秘策：スパム対策最前線（2/2 ページ）

[大澤文孝，ITmedia]

　ただし、IPアドレスによる判断がまったく無意味というわけではない。例えば、ブログのトラックバックでは、「海外からの不正なトラックバックが多すぎる」という理由から、「海外ドメインのトラックバックをすべて拒否する」というポリシーで運用しているケースも多い。

　前述の会員向けサイトの例として、Cookieを効果的に使うことで個人の特定ができるという考え方もある。しかし、送信元でCookieを無効にされてしまえば無意味になってしまうため有効な策とはならない。もちろん、運用ポリシーと照らし合わせる必要があるが、会員のみが投稿可能な領域を作ることは効果的な対策となるだろう。

　このような理由から、アプリケーションスパムは、ほとんどが最終的に人手に頼ることが多いのだ。自動化したいのであれば、「特定の語句が含まれていたら、書き込まれないようにする」という対策が精いっぱいだろう。この手法をパターンマッチングと呼ぶ。不正投稿の傾向としては、壁などへの落書きと同じく放置されている掲示板ほど迷惑行為が続く。そのため、不適切な投稿は適時に消していくことが初期段階に最も有効な対策といえる。

　それでは、手動に徹するしかないのだろうか？　そうではない。自動化には自動化で対抗する手だてが残されている。

尋常でない量であればプログラムで対策すべき

　すべてが人手で解決できるわけではない。なぜならば、世の中には掲示板やブログへの投稿を自動化する悪質なツールが横行しているからだ。

　スパムの送信者がこの手のツールを使っている場合には、消してもまた書き込まれるイタチごっこが続いてしまう。最近の傾向はこのケースがほとんどである。そのため、手作業ではなく投稿用ソフトで書き込まれているようであれば、その対策が不可欠だといえる。

　投稿用の自動化ツールでは、「入力フォーム（FORM）」が常に特定のURL先という前提条件がある。このため、例えば次のような対策が考えられる。

1. 連続投稿を禁止する

　まずは、同一IPアドレスからの連続投稿を禁止するようにすべきだ。例えば、5分以内の投稿は1回に制限するといった具合だ。この対策でかなりのスパムが制限できるはずだ。

2. 入力フィールドの名前を動的に変化させる

　入力フィールド（<input type="text">など）の名前（name属性の値）を、その都度変化させるようにすべきだ。多くの自動投稿ツールでは、入力フィールドの値を固定化している。このため、該当個所の値を変化させることでツールがエラーを起こすわけだ。ただしこの情報は広く知られているため、イタチごっこの餌食となるのは時間の問題だ。

3. 画像を確認項目として使う

　幾つかの掲示板スクリプトで採用されているが、ランダムに英数字を画像表示して、投稿時に人の目で識別して入力してもらう方法だ。

　自動化された投稿用ソフトでは、さすがに画像から英数字を読み取って自動入力することはできないことから排除できる可能性が高い。

スパム対策の王道はパターンマッチングなのか

　企業や基幹となるサービスで掲示板やブログを運営する予定であれば、このような防御策を必ず行っておくべきだ。不正投稿は必ずあるとして考え、排除できる仕組みを構成してから運営し始めることを推奨する。作り方によるが、CGIやツールの改良には時間が必要だろう。事前の対処法を実装することなく運営した場合、不正な投稿によってサービス停止を余儀なくされることも考えられるからだ。

　また、掲示板やブログを設置する場合には、必ずWeb上で利用可能な容量制限を設けておく必要がある。そうしなければ、大量投稿によってディスク残量が圧迫され、サーバ内で共存するほかのサービスに影響を与える可能性があるからだ。

　スパムを把握する上で重要なのは、相手が勝手に送信している以上、「受け取らないことはできない」という点だ。つまり対策としては、「受け取らないようにする」のではなくて「受け取ったものを目に触れる前に削除する」ことだ。近年はスパムが増加傾向にあり、メールであれば重要なメッセージが埋もれてしまうことも想像に難しくない。手作業でスパムかどうかを判定して、ひとつずつ削除するのは明らかに時間の無駄だ。

　すべてのスパムを自動的に除去することはできないが、それでも、大多数を自動除去できる仕組みは幾つかある。次回は、具体的にスパムを排除する方法としてパターンマッチングの仕組みを解説していく。