1. はじめに

URI免疫化 (URI Immunization)とは、新しいウェブスパム防御の考え方であり、実際に台風への眼サイトにてトラックバックスパムの防御策として利用しているものである。

2. ポイント

この方法の基本方程式は以下の式である。

URI = 固定領域 + 可変領域

またこの方法のポイントは、以下の3点にまとめることができる。

• スパムと人間との時間差を利用した防御方法として、URIを変化させる方法が有効である。
• この方法が不特定多数について有効であるためには、人間よりもスパムの方がURIを読み取りにくいようにしておく必要がある。
• 本手法はスパムを防御するための万能な手法ではないが、現状ではほとんどの賢くないスパムに対して有効である。

第一のポイントであるが、スパムを防御するための方法としてURIを変化させることが有効なのは、例えばトラックバックURLを例にすると、スパムがトラックバックURLを取得する時間と、スパムがトラックバックURLを攻撃する時間とに、時間差があるということが条件である。人間ならば両者の時間はほぼ一致することが期待できるが、スパムの場合は両者に時間差が生じることが多い。というのも、まずトラックバックURLを取得し、データベース化してから攻撃をしかける例が多いためである。この時間差を利用してトラックバックURLを変化させてしまえば、スパムはトラックバックURLを利用できずに攻撃が失敗する。これがアイデアの核心である。

第二のポイントは、不特定多数を相手にした参加型システム（例えば誰からもトラックバックを受け付けるブログ）などにおいて問題になる。トラックバックURLがいつも変化しているということは、最新の有効なトラックバックURLを相手に伝えなければならない。しかし相手に伝えるためにその情報を公開すれば、同じ情報はスパムも読み取ることができてしまう。そこで、人間には読み取ることができるけれどもスパムには読み取りにくいという形で、最新のトラックバックURLを相手に伝えていくことが必要になる。そのための戦略として、以下の二つを提案する。

1. スパムには読み取りにくい形式で情報を提示する（例えばCAPTCHA）。
2. トラックバックURLを変化させる時間間隔を短縮することで、スパムが情報解読に使える時間に上限をはめる。

スパムに読み取りにくい形式としては、CAPTCHAほど大げさなものでなくても、HTML文書の内容を正しく解釈しないとトラックバックURLが取得できない、といった簡単な方法で十分である。例えば、トラックバックURLをHTML文書中に分離して表示したり（同様の方法はメールアドレスでよく用いられている）、Javascriptを使ってトラックバックURLを動的に組み立てたり、とにかく解析に手間がかかるような方法であればよい。トラックバックURLを変化させる頻度を増していけば、スパムが解析に利用できる時間の上限がさらにきつくなっていく。ゆえに泥棒の5分ルール（鍵を開けるのに5分以上かかれば泥棒はあきらめる）と同様に、理論的には開けられるけれども実際にはほとんど開くことはない鍵を作り出すことができる。

第三のポイントが示すように、この防御策を破る方法はいくらでもある。例えば人海戦術でトラックバックを送る相手からのスパムあるいは意図的な攻撃は防げない。つまり理論的にスパムを防げることが保証された方法ではない。しかし現実的には、この防御策を破ることのできるスパムは少ない。それは主にコストという経済的な理由による。したがって、この防御策が破られることが現実的に少なくなり、世の中のほとんどのサイトにおいてはこれでも十分な効果を発揮すると言えるのである。

ただし第二の点に関して一つだけ注意点がある。機械可読性の高いメタデータは、スパムにとっては格好の「餌」になってしまうという点である。例えばTrackback Auto Discoveryのようなメタデータがあれば、スパムはそれを読み取って即座に攻撃を開始できる。これでは時間差が発生せず、本手法は有効ではなくなる。そこで考えるのは、こうした機械可読性の高いメタデータの提供は、特にそれがスパムの標的になりうる場合にはややナイーブすぎる方法なのではないかということである。スパムがうごめく環境でのメタデータについては再検討が必要かもしれない。

さらなる発展形としては、過去の（有効期間を過ぎた）トラックバックURLを「おとり」として利用し、そうした無効なトラックバックURLを叩いたアクセス元(IPアドレス）を、自動的に禁止リストに入れてアクセスを遮断するという利用法が考えられる。こうすれば、わざわざ手間をかけてアクセス元をモニタする必要も大幅に減らすことができる。また、過去に出現したどのトラックバックURLを叩いているかを記録することにより、スパム側がそのURLを取得した時間と攻撃した時間との時間差を計測できるので、スパムがどの程度のスピードで情報を利用しているのかを監視することも可能である。これはトラックバックURLの更新頻度を自動的に調整する目的に使えるだろう。

本システムではそこまでのメカニズムはまだ必要となっていないが、このようなより適応的な免疫システムへの発展は面白い将来課題である。

3. 最新状況

• 2006-07-21 3件の侵入発見。5時間48分以内に追従したため、URL変化間隔を1時間、URL有効期間は3時間とした。
• 2006-07-20 1件の侵入発見。41時間以内に追従したため、URL変化間隔を8時間、URL有効期間は24時間とした。
• 2006-07-19 論文発表。この時点ではスパムを完全に防御できており、スパムの追従スピードは5日程度ではないかと思われた。
• 2006-06-06 URI免疫化システム開始。URL変化間隔は1日、URL有効期間は3日（過去2回の変化は保存するため）。

4. 正誤表

参考文献のウェブスパムをかわすためのURI免疫化は短時間でまとめたため、説明不足の点や誤解を招きやすい点、また以下の誤りがあることに注意。

1. 図1のキャプションは、正しくは『「トラックバックURL」がインポートURL、「トラックバックを見る」がエクスポートURL』です。

上記の説明不足については、URI免疫化：参加型システムにおけるスパム避けの一手法である程度は修正されている。

5. 参考文献（全リスト）

1. 北本 朝展, "URI免疫化：参加型システムにおけるスパム避けの一手法", 電子情報通信学会 Webインテリジェンスとインタラクション研究会, No. WI2-2006-73, pp. 45-50, 2006年11月 [ 概要 ] [ Paper ]
2. 北本 朝展, "ウェブスパムをかわすためのURI免疫化", NIIテクニカル・レポート, No. NII-2006-010J, pp. 1-12, 2006年7月 [ 概要 ] [ Paper ]