|
||||||
|
Written By:
川俣 晶 |
||||||
|
このような記事が公開されています。 この記事は、Webサイトのフォームに記入してメーリングリストやサービスに加入する際に、メールが自動的に返信される機能を用いて、特定の人物へ大量のメールを送り付けることができる、という指摘について書かれています。 このような問題は、りすと亭にも無縁ではないと言えます。 この記事では、これに対する対策を、以下のように記述しています。 しかしながら両氏は、この問題は比較的簡単に解決できるという。攻撃は、フォームに記述した後に自動的にメールが送信されることによって引き起こされる。そのため、サービス提供者側が、登録したユーザーにメールを送らないようにし、逆に特定のメールアドレスを用意してユーザーからメールを送信してもらうようにすれば、攻撃を回避できるとしている。 ここに書かれた内容を見る限り、このような対策は確認メールの本来の意図からすれば、無効であると考えられます。 りすと亭の確認メールは、本人以外が本人になりすまして登録を行うことを防止するために設けられたものです。確認メールが、りすと亭から登録者に対して送付され、逆方向ではないのは、電子メールの送信アドレスを詐称することは容易であるが、受信先を偽ることは容易ではない(電子メールアドレス本来のメールボックス以外のメールボックスに配信させることは容易ではない)という特徴によります。これにより、もし誰かが他人になりすましてメーリングリストへの登録を行おうとしても、確認メールを横取りして返送することが困難であるため、彼の意図は達成されないことになります。しかし、メールを送信することが確認の条件であるとすれば、容易に送信者を偽装して確認メールを送信できることになります。これでは、メールクラスター爆弾の対策にはなっても、詐称登録対策にはなりません。 少なくとも、現状では、この記事で指摘されたような回りくどい方法を取らなくても、大量の電子メールを送りつける攻撃は可能であって、実際に行われる可能性は低いと考えます。もし、そのような攻撃が実際にあり得る状況になった場合は、りすと亭でも何らかの対策を取りたいと考えます。 |
