BACK
TOP
佐々木俊尚 Toshinao Sasaki
インターネットが、ノイズの海に呑み込まれようとしている。ネットの黎明期からわれわれを悩ませ続けてきたスパム――日本語で言う「迷惑メール」が、ついに臨界点を突破したのだ。昨年から今年にかけての世界中でのその暴走ぶりは、明らかに度を超している。たとえば昨年、大手調査会社の米ガートナーによれば、スパムは一般企業が受信する総メール数の約半数に到達したという。またサンフランシスコの調査会社、フェリス・リサーチは今年のスパム対策費用は全米で100億ドル(約1兆2000億円)に達すると予測している。天文学的な数字ではないか。
スパムの根本的問題――それは『スパムを相手にする人が減るにつれ、スパムの絶対量はどんどん増えていく』というジレンマだ。果たしてわれわれはこの絶望的な戦いに、勝利を収めることができるのだろうか?
「反応するユーザーが少なければ、送る量を増やせばいい。いずれは返事をくれる誰かに到達するはず」。ある迷惑メール関係者は、こう話した。10万人に送ろうと、100万人に送ろうと、スパマー側のコストはほとんど変わらない。マウスを1回クリックし、データがすべて流れ終わるまでに数十分かかっていたのが、数時間に変わる程度の手間でしかないというわけだ。一方、この膨大なトラフィックの増加によってインターネット全体が被る金銭的被害は、等比級数的に増えていく。
おまけにスパマーの技術も加速度的に進んでいる。
1994年、ニュースグループのUSENETで行われた米グリーンカード抽選手続き代行の宣伝が、スパムの先駆けといわれている。この時代、メールアドレスはUSENETの書き込みやウェブサイトから集められていた。しかし今はそうした牧歌的な手法はあまり使われない。主力はDHA(Directory Harvest Attack)だ。「アドレス刈り取り攻撃」とでも訳せるだろうか。たとえばkaisha.co.jpというドメインの企業があれば、それらしいアドレスの大量のメール――たとえばkato@kaisha.co.jpとかichiro.suzuki@kaisha.co.jpとか――を送りつけ、エラーが返ってきたアドレスは取り除き、反応がなかったアドレスだけをデータベースに登録していく仕組みだ。まるでサイバーテロのDOS(サービス拒否)攻撃のようなアグレッシブかつシンプルな手口だが、これに対抗するのはきわめて難しい。対処療法以上の対策は、今のところ誰も思いついていない。
では、法律で規制すれば大丈夫だろうか。携帯電話の迷惑メールが猛威を振るっている日本では、昨年7月に迷惑メール送信適正化法が施行。@無差別に大量の宛先を抽出する架空アドレスによる送信の禁止A受信を拒否しているユーザーへの再送信を禁じ、悪質業者には50万円以下の罰金――を盛り込んだ。しかし同法で義務づけられた「未承諾広告※」の件名表示はあまり守られておらず、せっかくの規制法もザルと化しつつある。そもそもエンド・ツー・エンドのインターネットを流れるデータを、法規制で何とか縛ろうとすることに無理があるとも言えるのかもしれない。
さらに、別の問題も生じつつある。
そもそもスパムは「求めていないのに送りつけられる大量のメール」と定義されていた。米ガートナーによれば、その分類はこんな風だ(表)。同社は、このうち退治すべきスパムは「純然たるゴミ」と「チェーンメール」だけだという。しかしスパムの嵐に辟易するユーザーは最近、真っ当な企業が送ってくる広告メールからウェブのポップアップ広告(確かにこれはうんざりする存在だが)まで、すべてをスパムとして敵視しはじめている。ネットで目に入る気にくわないモノはすべてスパム、というわけだ。実際、日本の広告業界関係者によると「携帯メール広告はスパムと混同されやすいため、広告主から敬遠される傾向が起きている」という。せっかく立ち上がりつつあるネット広告業界も、スパムの海へと呑み込まれていこうとしているのだ。影響は決して小さくないだろう。
■
昨年夏ごろから、あるスパム業者の登場が業界で話題になっている。Mと名乗るそのスパマーは、下品なチャイルドポルノを皮切りに、出会い系から大麻のタネまで、ありとあらゆるスパム広告を大量に繰り返し送信している。独自に収集した膨大な数のメールアドレスに対し、1日数十通を送りつけるその圧倒的な物量作戦は、過去に例がないレベル。おまけにアンチスパム運動の個人サイト掲示板などで“荒らし行為”までをも繰り広げたことから、“スパム退治人”たちの間で一躍、悪名を轟かせる結果となった。
スパム退治人のひとりが語る。
「M氏が現れたのは、昨年の8〜9月ごろだった。それまでは携帯電話の“ワン切り”を専門にやっていたらしいが、規制が厳しくなってインターネットのスパムに流れてきた。ケータイの迷惑メールやワン切りは、携帯電話会社が監視を厳しくした結果、ほぼ全滅状態になっており、民族大移動のようにネットスパムに業者が流れ込んできているという背景がある」
メールアドレスはこうして集める
それにしても、スパマーたちはどのようにしてスパムを発信しているのだろうか。まず、その仕組みを考えてみよう。
最初に必要なのは、ウェブや掲示板からメールアドレスを収集するためのアドレス収集ソフト。検索エンジンにかければ数千円〜1万円程度のシェアウェアが無数にヒットする。ウェブサイトのソースをダウンロードし、そこからメールアドレスを抽出しているだけの簡単なソフトだ。先のM氏の場合、常時5〜6台のアドレス収集専用サーバーを立ち上げ、各サーバーでそれぞれアドレス収集ソフトを走らせ、数日間もかけて大量のメールアドレスを集めていると推測されている。実際、1台のパソコンで試しにこの種のソフトを走らせてみたら、わずか数時間で1000以上のメールアドレスを簡単に集めることができた。M氏並みの規模で収集すれば、膨大な数のメールアドレスが入手できるだろう。
米国ではさらに進化した収集システムが
ただこの手のソフトの場合、ウェブの管理者や掲示板利用者のアドレスは調べられるが、圧倒的多数を占める普通のユーザーのアドレスを集めるのは難しい。そこで登場してきたのが、DHA(Directory Harvest Attack)と呼ばれる手口だ。これは会社など特定のターゲットを定めたら、いかにもありそうなメールアドレスを想定して数万もの種類のメールをそのドメイン宛てに送りつける。エラーが返ってきたら、そのメールアドレスは不達だとわかる。逆にエラーが返ってこなかったら、メールアドレス存在の逆証明になる。これで企業内の個人ユーザーの貴重なメールアドレスを大量に入手することができ、米国で主流になりつつあるという。しかし、大量のエラーが生じると、スパマーの利用しているISPにはDOS(サービス拒否)攻撃に近い集中的なパケットが返ってくる。ネットのトラフィックに与える影響は少なくない。
しかし日本では、DHAを使っている業者もさほど多くなく、現状ではメールアドレス収集ソフトを使っているケースがほとんどとされる。しかし、これからどうなるか。「日本のスパマーは現在は技術的レベルもさほど高くない。米国並みになるのはまだこれからでしょう」(同)というのは不吉な予言ではないか。
ADSL普及が大量のスパマーを生み出した?
さて、こうしてメールアドレスが集まれば、あとはそのアドレス宛に広告メールを送りつけるだけだ。スパム退治の専門家は「上り速度1MbpsのADSL回線が1本あれば、1日数十万通のメールを送り出すことができる」という。実際には、スパマー向けのベンダーがアドレス収集ソフトと同時送信ソフトをセットにしてパッケージで販売している。そうしたソフトを買ってこれば、ボタン一発でメールアドレスを大量に収集し、再びボタン一発で集めたアドレスにメールを送ってくれる。あとはひたすらパソコンが作業をこなすのを待っていればよい。
もちろん、スパムを送信する際には“ISPの規約”という大きなハードルがある。これをどうクリアするかが、スパマーたちの独自ノウハウにもなっている。前出のスパム退治の専門家によれば、その方法は6種類に大別できる(図)。
悪名高いM氏は比較的高度なBの方法を採っているとされるが、しかし日本国内でもっとも多いのは、実は原始的な@のケース。「日本はまだ技術的に幼稚なスパマーが多いうえ、日本のISPの中にはスパムを事実上容認していて大量のメール発信が行われても看過させているところがある。スパマーの連中は、そうしたISPを利用している」(前出の専門家)
いずれにせよ、適当なADSL回線とそれにつながったパソコンを持っていれば、後は1万数千円程度のソフト代があればスパマーを開業できてしまうということなのだ。
損益分岐点がきわめて低いスパムのビジネスモデル
さて、ここまで読んでピンと来なかっただろうか。スパム業者というのは、実はとんでもない低コストで運営できてしまうのである。
前出のスパム退治人が語る。
「大量のスパムを送信しても、反応があるのは0.001%程度。百万通送って、数十件から数件の返事がある程度。『そんなレベルでビジネスとして成り立つのか?』と誰もが思うでしょう? でも10人ぐらいから反応があり、そこからいくばくかの収入が上がれば、それでビジネスとして成立してしまう」
営業コストがきわめて低い――つまり、損益分岐点が異常なほどに低いのだ。ADSLの回線費用が月額3000円程度だとすれば、簡単にいえば月額3000円の売上で損益分岐点は超えてしまう。人件費もゼロに近い。
「昨年ぐらいから急激にスパムが増えています。これはケータイの迷惑メールが難しくなったのと同時に、ADSLの低価格化でスパム送信が大量に簡単にできるようになったことが大きい。個人がサイドビジネスとして片手間にできてしまう」(同)
さらに、“ビジネスモデル”として興味深いのは、スパムは二重に売上を得ることができる仕組みになっていることだ。たとえば冒頭に挙げたチャイルドポルノの広告を発信しているM氏の場合。まずスパムを見て返信してきた人に非合法DVD-ROMを販売。同時に、そうやって購入した人の名簿をまとめてポルノ業者に売りつけるのだ。M氏は「一度チャイルドポルノを買った客の名簿だからね、そりゃ高く売れるわけだよ」とうそぶいているという。
撤退しては参入し……の繰り返し
とはいえ、その儲けが営利事業として成り立つほどかといえば、案外そうでもないようだ。さまざまな業者や個人がスパムに参入し、しかし利幅が少ないためにすぐに撤退し、そしてまた別の業者が参入してくる。スパム業界はそうした繰り返しを続けているようだ。
「本当に儲かってるのは、スパマーにソフトやシステムを売りつけているベンダーだけかもしれませんね」(同)
なんだかまるで、ネットバブル華やかなりしころのネットベンチャーとSI(システムインテグレーター)の関係のよう――といったら不謹慎だろうか。
それにしても、インターネットのモラルなどにはまったく興味のないそうした人たちが、雪崩を打ってスパム業界に参入してきているということなのだろう。寒気のするような光景ではある。