日曜日, 6月 08, 2008

バウンシングバック認証はタブーの技術

 届いたメールに対して「メールを送ったのは本当にあなたですか?」と確認を求めるメールを自動返送するバウンシングバック認証方式は、なにもOptPlusの開発元のヌリビジョン社の発明ではない。昔から使われている工夫である。
 たとえば、自動登録方式のメーリングリストでは、参加希望者が登録要求メールを送ると、登録確認要求メールが自動返送されてくる。そこにはパスワードが書かれていて、それをもう一度送信すると登録される。
 このバウンシングバック認証は、誰かが他人のアドレスをかたってメーリングリストに登録するといういたずらを防ぐためである。アドレスをかたられた被害者には、身に覚えのない登録確認要求メールは迷惑なものには違いない。しかし、これをしないことには、被害者は、望んでもいないメーリングリストの配信メールを多量に受けるという、より大きな迷惑を受けてしまう。被害者を大きな迷惑から守るために、メーリングリストの自動登録のバウンシングバック認証は必要なのである。そこが、スパマーにアドレスをかたられた被害者にとってはただ迷惑なだけのOptPlusのバウンシングバック認証要求とは異なる。
 メーリングリストの自動登録に昔から使われているバウンシングバック認証方式を、自分がスパムを受けないための対策に使えないかというアイデアを思い付いた人は、おそらく何人もいるだろう。しかし、メールシステムを理解している人はすぐにいろんな問題に気付く。

●メールトラフィックを増やすことになる。
●送信者に手間をかけさせるのは失礼ではないか?
●送信者が認証手続きをしてくれなかったら、正当なメールを見逃すおそれがある。
●自分が送信したメールのエラー差し戻しに対して認証要求をかけたら、エラーに気付かない。認証要求をかけないようにしたら、エラー差し戻しを装ったスパムを防御できない。
●スパマーに送信者アドレスをかたられた被害者に届くバウンシングバック認証要求は迷惑メールになる。
●送信側でもバウンシングバック認証方式をとっていたら、バウンシングバック認証要求のメールループが起こるから、その防止策も考えなければならない。
●送信側でもバウンシングバック認証方式をとっていたら、互いに相手からのメールに気付かないデッドロック状態(やぎさんゆうびん問題)に陥る。

これほどいろんな問題が懸念されることに気付いたら、「これじゃ使い物にならない」と思うだろう。
 メーリングリスト登録やその他のサービスの自動受付プログラムならともかく、人に宛てられたメールにバウンシングバック認証方式を適用することは、メールシステムを知る技術者にとってタブーだったのである。だから、スパム対策の研究者の間で議論にもなっていなかったのである。そのタブーを犯したのがOptPlusである。すべての問題を解決してタブーを破ったのなら賞賛もしようが、本質的に避け得ない問題をバウンシングバック認証方式は内在しているのである。
 企業の経営者層の人は、メールシステムをよく知らなくてバウンシングバック認証方式の問題点に気付かず、「OptPlusは画期的なスパム対策製品」という宣伝を鵜呑みにしかねない。バウンシングバック認証方式のタブーに漠然と気付いていながら、それを経営者層にうまく説明できない技術者は、OptPlusの導入を阻止できないかもしれない。そうなると、宛先の不正なバウンシングバック認証要求メールで他人に迷惑をかけ、また、ユーザーは、バウンシングバック未認証を心配してペンディングキューを見なければならないメーリングリストに投稿する時にはFromヘッダのアドレスをエクスパンションアドレスに変えなければならないという不便を強いられるのである。
 バウンシングバック認証方式の問題に漠然と気付くのにとどまらず、緻密に考察して指摘してきたのは、おそらく私だけだろう。メールシステムをよく知らない人たちを、OptPlusを買わないよう説得するため、また、簡単で効果が高くて無料で使えて、すでに多くのサイトで使われている実績のあるS25R方式という対案があることを説明するために、2007年5月14日「バウンシングバック認証という無茶なやり方」に始まる私のバウンシングバック認証方式反対キャンペーンの一連の記事が役立てば幸いである。

6 件のコメント:

PyTa さんのコメント...

こんにちは。過去数回ほど掲示板の方に投稿させていただいたPyTaです。
S25Rは数年前から導入させていただいております。極めて高い効果があり大変感謝しております。

それで、掲示板経由でお邪魔して、何気なくOptPlusに関する記事を読ませていただいたら、なんとも…アレな製品ですね…^^;
恥ずかしながら、これほど(ある意味で)注目すべき事柄を今まで知りませんでした。いや正確には、よくあるこの手の新サービスだろう、とニュースをスルーしていたと思います。
自分でもベンダーサイトや他の情報をあさってみたりして、なるほど、概ねdeoさんと同じ感想を持ちました。
もちろん他人に迷惑をかける点が最悪でしょうけど、気になるのが返金制度、どのぐらい返金されたケースがあるんでしょうね。
しかしよく読むと、
「ホワイトリストに登録されていないメールアドレスからのスパム(迷惑)メールを受信した場合」
と書いてある…??うむむ?そもそもホワイトリストに登録されないと配信されないのでは??

まぁただ私は、そんなことはどうでもいい(と言ったら言い過ぎかもしれませんが)、ハッキリ言って「ひどい製品・サービス」なんて結構あるものだと思っているので。
それよりも、このオモチャを各ニュースサイト・情報サイトがこぞって賞賛している、中には「有名会社の某氏」の体験インタビューなどなど、そして、その記事群の中に比較的私が信頼していたサイトが含まれていたことのほうが、その信頼性にまで疑問を感じてしまったことのほうが、衝撃でした。
逆に問題点など指摘するニュースポータルなどは見当たりませんね。ありますか?
どのぐらい、企業の働きかけがニュースソースに影響するものなのか気になってしょうがないです…。よほど大きな力が働いたんでしょうか。
そうなると、このブログを読んでいるであろうベンダー側が、deoさんに対して何かアクションを起こしてくるんじゃないかと、余計な心配もしています^^;

deo さんのコメント...

 PyTaさん、こんにちは。コメントありがとうございます。S25Rが多くの人のお役に立ってうれしく思っています。
 「ホワイトリストに登録されていないメールアドレスからのスパム(迷惑)メールを受信した場合」にのみ返金ということは、ホワイトリスト登録された知人のアドレスをかたったスパム(「バウンシングバック認証の破り方」参照)の場合は返金に応じないということなんでしょうね。返金されるのは、スパマーがまともにバウンシングバック認証に応じた場合や、スパマーに送信者アドレスをかたられて不正なバウンシングバック認証要求を受けた人がスパマーに成り代わって認証手続きをした場合くらいでしょうかね。
 OptPlusに対するマスコミサイトのヨイショぶりはあきれるばかりですね。OptPlusのベンダーから相当金がばらまかれたに違いありません。おっしゃるとおり、バウンシングバック認証方式の問題点を指摘するニュースポータルはまったく見かけませんね。
 でもきっと、大衆の注目は私のOptPlus批判に向いていると思います。なにしろ、ググると「バウンシングバック認証」でも「OptPlus」でも私のブログが1位にヒットしますから。
 私は、なにもOptPlusのベンダーの事業を妨害したり損害を与えたいわけではありません。ただ、すべての善良なインターネットユーザーがハッピーになることを願って、ユーザーが良識ある選択ができるための情報を提供しているだけです。OptPlusのベンダーは、私の言論には言論で対抗すればよいのです(やれるものならやってみろと思っていますが)。私の記事を読んでなおOptPlusを選ぶユーザーがいたら、それはそれで仕方がありません。選ぶ権利はユーザーにありますから。
 OptPlusのベンダーが私に何かアクションを起こすことなどできないでしょう。インターネットという情報網には勝てません。私を1億円で買収して批判記事を消させようとしても、私は応じませんよ。買収に応じたら私は世間様から軽蔑されます。私にとっては、世間様からいただく信頼の方が1億円より大事ですから。

PyTa さんのコメント...

私のまとまりのない、しかも無用に長い駄文に、こんなにご丁寧にお返事いただき、本当に嬉しい限りです。
そして何度も投稿すみません…、どうも気になってしまって…。
上にも書きましたように、OptPlusの問題そのものもさることながら、マスコミ、「情報源のしっかりしたサイト」と思われがちな各ポータルなどの不自然な賞賛ぶりのほうが、やはり大きいというか怖いとすら感じますね…。
私は一応、IT関連に限らずニュースなどは複数を見比べて偏らないよう心がけていますが、ここまでマスコミが揃っていると、もう我々一般人は信じてしまったり誤解する可能性が高いです。
おっしゃるとおり選ぶ権利はユーザーにありますが、しかしそれは公平で正しい情報や判断材料があることが大前提ですから、その意味でもdeoさんの記事はとても重要だと思います。
私のクライアントの一社がdesknet'sを愛用していて、というかその会社の担当者の好みなんでしょうけど、OptPlusに興味を持つ危険が大いにあるので、ぜひともこちらの記事も重要情報として紹介させていただきたいと考えております。
といっても…、おっしゃるとおりググっても上位にヒットするのはdeoさんの記事なのですが、問題は、前出の担当者のような、技術的な知識はほとんどなく、それでいて「新技術」などの響きに弱く、かつ有名サイトが褒めてて一部のブログ記事だけが問題を指摘していれば有名サイトのほうを無条件で信用してしまう、というような(結構多い)IT部門のインフラ管理担当者などが、実に問題ですねぇ…^^; まぁ地道に説明するしかないのですが…。

それにしても、家電やPCの新製品に関するレビュー記事なんかだと、結構不満点なども正直に指摘されていたりしますが、いったいOptPlusのベンダーはどれだけ力を(あるいは金を?)使えばこうなるんだろう?…

ところで、素朴な疑問なのですが、
> 返金されるのは、スパマーがまともにバウンシングバック認証に応じた場合や
とのこと、私ちょっとよく解っていないのですが…、こちらなど見ると、
http://www.optplus.jp/feature/bouncing.html
認証に応じた時点でホワイトリストに自動登録される、すなわち返金の対象から外れる、と解釈したのですが、何か勘違いでしょうか?…
つまり、スパムであろうが正当なメールであろうが、(エクスパンションアドレスなどを除き、基本的には)そもそもホワイトリストに登録されていないメールは受信されることはない、返金されるケースなどあり得ないのでは?と疑問に思ったのです。
こんなことはベンダー側に聞いたほうが良いですよね…^^;

deo さんのコメント...

 たくさんのポータルサイトがこぞってOptPlusをヨイショしているのは、本当に不気味ですね。たぶん、金をもらっているから反対意見を取り上げないのでしょう。マスコミはしょせんそんなものなんでしょう。
 今は幸いインターネットの時代だから、マスコミの恣意的なフィルタを通らない情報を集めるのが容易になっています。もちろんごみ情報もあります。だから、自ら情報を多面的に集めて自ら判断するという姿勢がますます重要になってきていますね。
 情報をきちんと把握せずに、一個人のブログよりも著名なマスコミサイトの方が信用できると思い込む人も、もちろんいるでしょう。でも、「ちょっと待て。批判もあるのだから、それをサーベイしてから決めても遅くないんじゃないか?」と言ってくれる人が少しでも多く現れてほしいものです。私のブログの宣伝にご協力いただければ幸いです。

 どういう場合にスパム受信で返金されるかですが、スパマー(あるいはアドレスをかたられてバウンシングバック認証要求を送り付けられた人)が認証手続きをした場合に「スパムがホワイトリスト登録されたことになるので、返金対象になりません」などと言ったら、本当に返金されるケースはあり得ないということになりますね。「スパムを1通でも受けたら返金します」と宣伝しておきながら、実はどんな場合にも返金対象にならないように契約が仕組まれていたら、ユーザーは「詐欺だ」と騒ぐのではないでしょうか。そういうあこぎな商売は必ず信用をなくしますから、それならそれでいいでしょう。(^^)

PyTa さんのコメント...

こんにちは。
何度もごめんなさい。ご報告だけしておこうと思いまして。

例の返金制度について、製品の良し悪しを別にしても、企業姿勢としてこういうことはありえるのだろうか?と単純に疑問だったもので、調べてみました。
直接問い合わせようと思ったら、ただ質問するだけでも住所や会社名が必須だと言うのでやめました。ベンダーが公開している資料などを読んだだけです。
その限りでは、結論としては、通常なら返金されることはないようです。

まずここ
http://www.aegis.ne.jp/service/point/block.html
に「ホワイトリストに登録されていないメールアドレスからのスパム(迷惑)メールを受信した場合」と書いてあります。
返金を要求する場合は、まず所定の方法で申請し、審査を受けて認められれば返金に応じる、ということですが、その方法などについて、
http://www.aegis.ne.jp/faq/index.html#faq06
に手順など書いてあるのですが、どういうわけかリンクが切れていて、
https://www.cgihost.jp/~optplus/opt_plus_contact/kind/repayment.shtml
が申請フォームのようです。
(余談ですが、末尾の「審査結果により~間違っていた場合には~修正の上~申請を取り消します。」って意味不明…^^; 修正したのに取り消される??)
この下部に確認事項があるのですが、やはり「ホワイトリストに登録されていないメールアドレスから」という項があります。

したがって、(スパムであろうと正当なメールであろうと)ホワイトリストに載っている送信元からのメールだけを受け取る仕組みであるにもかかわらず、受け取った時点でその送信元がホワイトリストに載っていなかったら、返金に応じる、という少々(かなり)矛盾した制度ですね…。
言い換えれば、そりゃ確かに届くはずがありませんし、もし届いたらスパム判定の精度どうこうじゃなくて、システムの根幹の部分でおかしい、壊れている、ということですから、返金どころかキャンセルが妥当な事態です。

これは、「言葉のマジック」と言ったら語弊があるかもしれませんが…、つまり、
『スパムを100%ブロック!スパムを受け取ったら返金します』
ではなくて、正しくは、
『ホワイトリストに登録されていないアドレスからのメールを100%ブロック!ホワイトリストに登録されていないアドレスからのメールを受け取ったら返金します』
ということですね。それが「スパムかどうか」は関係ありません。

そういう意味では、ユーザーが求めている趣旨と違っていても「看板に偽りなし」と、とりあえずは言えます。
なぜなら、そもそもスパムどうこうという判断点じゃない、ようはホワイトリストこそが唯一の基準であるから…。
これを詐欺と呼べるかどうかは微妙かもしれませんね…、一応条件が書いてあるわけで、逆に言えば、よく読まずにこの制度の解りにくさを誤解する人は必ずいると思います。

deoさんがおっしゃっていた、返金を受けさせる目的で破る方法は、通用しない、ということのようです…。しかも、もっと悪い、ということですね…。
もうひとつの結論は、こうです。
このサービスは、
●スパムをブロックすること
よりも
●返金要求をブロックすること
のほうが優れている。

-------------
大変差し出がましいかとは思いますが、上記のことは私としてはかなり重要な点だと思うのです。返金、という点は注目される要素でもありますしね。
このdeoさんのブログは注目度も高いようですし、一連の記事にこの情報も加えていただければ、さらに皆さんの判断材料になると思うのですが、いかがでしょう。

deo さんのコメント...

 「返金プログラム」を見て、ホワイトリスト登録した知人などのアドレスをかたったスパムは補償されない、エクスパンションアドレスに宛てたスパムも補償されないということははっきりしました。つまり、OptPlusの弱点を突かれても返金はないということですね。
 だから、スパマー(またはアドレスをかたられて不正なバウンシングバック認証要求を受けた人)が認証手続きをするとスパムが届くという弱点についても補償はないのかどうか…。
 事前にホワイトリスト登録されていなかったアドレスからのスパムだったら、ユーザーは「ホワイトリストに登録されていないメールアドレスからのスパム(迷惑)メールを受信しました」という確認項目に当然チェックを入れると思います。それに対してベンダーは「スパマー自身が認証手続きをしたのだから、ホワイトリストに登録されているメールアドレスからスパムを受信したことになります。返金には応じられません」と言うのでしょうか。客と喧嘩になるでしょう。
 私にはどちらなのかわかりません。でも、OptPlusのベンダーがいかに弱点による返金を巧妙に回避しているかをみんなに認識してもらうのはいいことなので、後日書きます。