最新ニュース

日本の「リネージュ」ユーザーは集団活動が好き〜東大池田教授が実態分析

ゴメス、2003年夏期の国内・海外旅行サイトのランキングを発表

UIS、永井豪などが登場する「コミックス・アニメ祭」を開始

インターネット接続利用者数、ブロードバンド加入者が1,100万人に近づく

1週間メールのない生活は「離婚よりストレス」〜Veritas調査

OCN、Web上でホームページを作れる「ホームページ簡単キット」

NTT西日本、ブロードバンド回線を活用したVPNサービス提供開始

テックジャム、9,500円の検索キーワード解析ツール

オンライン音楽市場はまだ成長の余地あり〜米Jupiter調査

BIGLOBE、直販サイトを集約した「BIGLOBE STORE」を開設

テレマン、31の離島で衛星ネットを活用した常時接続環境の整備構想

感染するとIEのパフォーマンスが低下するウイルス「Bingd」

CRLの研究施設公開イベントで、今年も“無線LANラジコン”が登場

米ISS、WindowsのRPCに関する脆弱性の有無をチェックできるツール

InfoSphereに@FreeD対応の固定IP付与サービス

総務省、電波再配分の給付金算定に関する報告書を公開

情報通信審議会、携帯技術やアニメ・ゲームを活かす「日本型新IT社会」提言

ITXと有線ブロード、企業向け光ブロードバンド事業で合弁会社設

NRIら、実証実験に基づいた無線LANの設計・運用サービス

IE用の国際化ドメイン名プラグイン「i-Nav」がRFCに準拠

OCNでアクセス集中によるDNS障害が発生。現在は復旧

ソフトバンクBB、必要な機能だけを追加利用できるセキュリティサービス

日本気象協会、患者が急増している熱中症の予防情報サイトを開設

日本語ドメイン名の普及に、残る課題はアプリケーションの対応〜JPRS取締役

損保ジャパン、ネット上でリアルタイムに事故対応状況を照会できるサービス

シマンテック、感染するとうるさいウイルス「Lorsis」を警告

Web上のグラフィック技術「X3D」が国際規格へと一歩前進

著名なダウンロードサイト「Download.com」が殿堂入りソフトを4本発表

ノルウェーTelenor、航空機向けに衛星経由のパケットデータサービス

【連載】検索エンジンの裏側 第10回 Yahoo!のOverture買収で浮上した3つの疑問

【セキュリティ】

米セキュリティ研究者、Web申込で郵便物大量送付攻撃の危険性を指摘

■URL
http://www.jhu.edu/news_info/news/home03/may03/cyber.html
http://www.avirubin.com/scripted.attacks.pdf

 Webから通販カタログなどを無料で申し込むことができるフォームをよく見かけるが、悪意を持った人物がこうした通販カタログの申し込みをコンピュータで自動化することにより特定の人物や企業に大量の郵便物を送りつける、という新種の攻撃が可能であることを米国のセキュリティ研究者3氏が発表した。この攻撃の存在は最近インターネットでも知られるようになっていたが、論文として発表されたことで明確な脅威として認識されることになる。

 この論文を発表したのはJohns Hopkins大学のAviel D.Rubin氏、AT&T LabsのSimon Byers氏とDavid Kormann氏である。この攻撃がまだ実際に起こっていないにも関わらず論文を公表することによって、攻撃が実現されてしまう可能性は否定できない。しかし3氏は論文の中で攻撃手法を公表するに至った理由について「攻撃を防御する立場にある人々を教育しないことによって、脆弱性に関する知識を公表しないことよりも大きなダメージを生じさせる可能性がある」と述べた。3氏は2000年6月には既にこの攻撃手法を発見していたが、防御方法に関する研究が進むまで公表を控えていた。近年サーチエンジンのインデックスにアクセスできるAPIが公開されるなど危険性が増したために公表を決意したという。

 3氏はいくつかの防御方法を提案している。まずWebからの情報収集を自動化できるサーチエンジンインデックスへのアクセスを何らかの仕方で制限することを提案している。インデックスへのアクセスを制限することはインターネットコミュニティからの反発が多いため現実的でないかもしれないとしながらも、最近注目されているサーチエンジンのAPIへのアクセスを制限するのは重要だと指摘している。3氏が指摘するサーチエンジンのAPIといえば、GoogleがGoogle APIをベータテストとして公開しているが、現在のところ1日当たり1000回のアクセスしか認めておらず、この攻撃を防ぐには有効であると考えられる。今後のGoogleの対応に注目が集まりそうだ。

 さらに郵便物の宛先を入力するフォーム入力画面のフィールド名を分かりにくくするのもひとつの方法だ。例えば「Address1」「City」「Zip」などのフィールド名をランダムな文字列に変換するコードを追加するだけで初期の攻撃をかわせるかもしれない。

 もうひとつは一般にチューリングテストと呼ばれる手法を使い、人間にしか読めない画像に書いてある文字列を入力するなど、人間を通さないとできない認証方法を通すことが有効だとしている。さらにハニーポットと呼ばれるおとりの郵便カタログサイトをあちらこちらに用意しておき、攻撃を事前に察知する方法もある。ハニーポットはネットワーク侵入探知の世界で最近広く知られるようになってきたが、この手法を大量郵便送付攻撃の防御にも利用できる。

 この攻撃が実際に発生すれば被害者の生活が破壊されるだけでなく、地元の郵便局もまったく業務ができなくなり、通販カタログを送る業者に対する金銭的損害も無視できない。サーチエンジン企業、システム構築会社など関係する人々は早急にできる対策を採る必要があるだろう。

(2003/5/2)

[Reported by 青木大我 (taiga@scientist.com) ]

INTERNET Watchホームページ

INTERNET Watch編集部internet-watch-info@impress.co.jp
Copyright (c) 2003 Impress Corporation All rights reserved.