SPIT――「声のスパム」の脅威は現実になるか?

通話料の安いIP電話は、スパマーにとって無視できないほど魅力的だ。彼らがPCのVoIPシステムを乗っ取ってVoIPスパムボットに変えてしまうことは想像に難くない。

» 2006年12月26日 12時05分 公開
[Larry Seltzer,eWEEK]
eWEEK

 これは大体は理論上の話だが、完全にそうというわけではない。日本では既に、VoIPシステムを使ったスパムが報告されている。Spam over Internet Telephony――皮肉を込めて「SPIT(「つば」の意)」と呼ばれる――よりも破壊的で腹の立つスパムは想像しがたい。

 固定電話でさえ安い通話料がゼロの方向へと引き下げられているが、VoIPは既に多くのケースで通話料ゼロに達している。Skypeなど多くのVoIPネットワークは、別のユーザーへの通話が無料だ。スパマーにとっては無視できないほど魅力的だ。

 特に音声応答システムと組み合わせて、さまざまな攻撃が実行されることは想像に難くない。

 まず、スパマーは電子メールアドレスを収集するのと同じやり方で電話番号を集められるが、その必要はない。氏名と住所が載ったオンライン電話帳を買うだけでいい。

 このデータを使えば、スパムはよりいっそう合法的なものに見えるだろう。合成音声が「こんにちは、セルツァーさん」と言うのだから。発信者番号を偽ることは用意で、しかも必ずしも違法とは限らないことから、さらに信ぴょう性を高められる。

 スパマーは、標的がどの銀行の顧客なのか、あるいは標的がPayPal利用者なのかといったことを知らない(十分にデータマイニングすれば分かるかもしれないが、そこまでは触れないでおこう)。だが居住地域は分かるし、そうなれば学区や利用している公共事業会社は分かるだろう。

 これらの、そしてほかにもきっとたくさんあるであろう要素は、効果的な詐欺の機会を示している。そしてどこかの電話会社の電話帳があれば、そこに載った人々を狙った特別な攻撃を作り上げることができる。

 SPITの効果は詐欺にとどまらない。組織的なSPIT攻撃を利用すれば、企業やサービス事業者のVoIPネットワーク、あるいは少なくともボイスメールシステムにサービス拒否(DoS)攻撃を仕掛けられるだろう。

 PCベースのVoIPクライアント(Skypeに限らず、ソフトフォンを使うサービス)がマルウェアにハイジャックされ、VoIPスパムボットに変えられてしまうこともたやすく想像できる。

 もしもソフトフォンをシステム上のほかのソフトからプログラムでき、ボットがバーチャルマイクドライバをインストールできたら、バックグラウンドで電話をかけることも可能で、ユーザーは気付かないかもしれない。

 ユーザーは、自分のVoIP利用を詳しく調べれば、あるいはボットがVoIPシステムの利用を阻害すれば気がつくだろう。だが巧妙なボットなら阻害することはないだろう。

 こうしたスパムボットへの対抗策は、通常のボットへの対抗策とほぼ同じだ。ユーザーは不正なソフトから自分のシステムを守り、アプリケーションベンダーは自社のプログラムが乱用されないよう保護する必要がある。

 もちろん、これは子どもに野菜を食べろと言うようなものだ。いつも成功するとは限らないし、常に対処する価値があるほどの問題だとも限らない。この種のボット活動は、ある程度は避けられないように思える。

 従来のスパム対策アプローチをSPITに当てはめても効果があるとは限らない。テキストストリームでは有効かもしれないベイジアン分析では、少なくとも実際問題として、パケットの中の音声ストリームは分析できないだろう。

 また、どのくらいうまくいくかは依然として不明だが、通話の信号フェーズでやり取りされたデータの多くは偽装可能だ。

 専用システムから送信されるSPITの解決策は、スパムを止めるよりも難しい。VoIP企業の善意と、おそらくは司法当局がこの問題を深刻に受け止め、違反者を摘発するかどうかにかかっている。

 それに比べたら、子どもにほうれん草を食べさせるのなんて簡単だ。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.