米セキュリティ研究者、Web申込で郵便物大量送付攻撃の危険性を指摘

■URL
http://www.jhu.edu/news_info/news/home03/may03/cyber.html
http://www.avirubin.com/scripted.attacks.pdf

　Webから通販カタログなどを無料で申し込むことができるフォームをよく見かけるが、悪意を持った人物がこうした通販カタログの申し込みをコンピュータで自動化することにより特定の人物や企業に大量の郵便物を送りつける、という新種の攻撃が可能であることを米国のセキュリティ研究者3氏が発表した。この攻撃の存在は最近インターネットでも知られるようになっていたが、論文として発表されたことで明確な脅威として認識されることになる。

　この論文を発表したのはJohns Hopkins大学のAviel D.Rubin氏、AT&T LabsのSimon Byers氏とDavid Kormann氏である。この攻撃がまだ実際に起こっていないにも関わらず論文を公表することによって、攻撃が実現されてしまう可能性は否定できない。しかし3氏は論文の中で攻撃手法を公表するに至った理由について「攻撃を防御する立場にある人々を教育しないことによって、脆弱性に関する知識を公表しないことよりも大きなダメージを生じさせる可能性がある」と述べた。3氏は2000年6月には既にこの攻撃手法を発見していたが、防御方法に関する研究が進むまで公表を控えていた。近年サーチエンジンのインデックスにアクセスできるAPIが公開されるなど危険性が増したために公表を決意したという。

　3氏はいくつかの防御方法を提案している。まずWebからの情報収集を自動化できるサーチエンジンインデックスへのアクセスを何らかの仕方で制限することを提案している。インデックスへのアクセスを制限することはインターネットコミュニティからの反発が多いため現実的でないかもしれないとしながらも、最近注目されているサーチエンジンのAPIへのアクセスを制限するのは重要だと指摘している。3氏が指摘するサーチエンジンのAPIといえば、GoogleがGoogle APIをベータテストとして公開しているが、現在のところ1日当たり1000回のアクセスしか認めておらず、この攻撃を防ぐには有効であると考えられる。今後のGoogleの対応に注目が集まりそうだ。

　さらに郵便物の宛先を入力するフォーム入力画面のフィールド名を分かりにくくするのもひとつの方法だ。例えば「Address1」「City」「Zip」などのフィールド名をランダムな文字列に変換するコードを追加するだけで初期の攻撃をかわせるかもしれない。

　もうひとつは一般にチューリングテストと呼ばれる手法を使い、人間にしか読めない画像に書いてある文字列を入力するなど、人間を通さないとできない認証方法を通すことが有効だとしている。さらにハニーポットと呼ばれるおとりの郵便カタログサイトをあちらこちらに用意しておき、攻撃を事前に察知する方法もある。ハニーポットはネットワーク侵入探知の世界で最近広く知られるようになってきたが、この手法を大量郵便送付攻撃の防御にも利用できる。

　この攻撃が実際に発生すれば被害者の生活が破壊されるだけでなく、地元の郵便局もまったく業務ができなくなり、通販カタログを送る業者に対する金銭的損害も無視できない。サーチエンジン企業、システム構築会社など関係する人々は早急にできる対策を採る必要があるだろう。

(2003/5/2)

[Reported by 青木大我 (taiga@scientist.com) ]