« IEの印刷機能の不具合 | メイン | 利用しているFirefoxのアドオン一覧 »

Google Groupsを使う時はスパムとメールアドレス収集に注意

Google Groupsはディスカッションという掲示板を作れたり、WYSIWYGでページが作れたり、ファイルを共有できたり便利です。
ディスカッションはメールからも投稿可能で、投稿されたディスカッションはメールで受信できるので、メーリングリストとして使えます。
便利なGoogle Groupsですが、問題がないわけではありません。
Google Groupsを使っているとスパムが送信されはじめます。
スパムに対応する為にやりがちなこと
スパムが送信されると、オーナーやマネージャは次のようにやりがちです。
スパムが送信される。
  『メッセージの投稿をメンバーのみ』に変更。
新規メンバーからスパムが送信される。
  『全てのメッセージを管理対象とし承認されるまで表示されない』ようにする。
  『新規メンバーからのメッセージを管理対象とし承認されるまで表示されない』ようにする。
この時点で管理作業が少々面倒になってきます。
しかも、メールアドレスが収拾されてしまう問題が残っています。
実は、ディスカッション内に含まれるメールアドレスは、表示する時にはCAPTCHAによる認証が必要ではありますが、参加メンバーではない第三者による閲覧が可能です。
(今は直っているかどうかわかりませんが、『ページ編集のお知らせをディスカッションへ投稿した際にそれに返信があるとCAPTCHA不要でメールアドレスが表示される』不具合もありました。)
お勧めの設定は?
スパムが送信される以前にやっておきたい設定があります。
グループを新設した時点でできればやっておいた方がいいと思います。
そもそもスパマーはどのようにしてメーリングリスト用のアドレスを知るのでしょうか。
それは、Google Groupsで作成したグループは、『Google Groupsのトップから閲覧や検索が可能』となっているからです。
まず、これをやめた方がいいと思います。
『グループ設定』=>『アクセス』=>『ディレクトリ リスト』=>『このグループ リストしない』にしてください。
(ちょっと日本が変ですが...。)
これだけで、スパムが来なくなります。
グループの存在は、自分のblog等からリンクをはってお知らせすれば良いでしょう。
海外のスパマーに見つかりませんし、国内のスパマーもいちいち外部からのリンクを探してまで送信してくるような手間はかけないでしょう。
そんな手間をかけるぐらいなら、他のグループをGoogle Groupsから探す方が楽です。
仮にそこまでの手間をかけてやってくるスパマーがいるのであれば、そのグループを名指しにしている可能性が非常に高いので、Google Groupsの設定や、メーリングリストの開設場所の問題ではないと思います。
上記で書いたメールアドレス収集の問題は、『グループ設定』=>『詳細設定』=>『このグループへのメッセージをアーカイブしない』で解決するはずです。
(やった事がないので詳細は不明です。これをやってしまうと、メーリングリストではなく同報メールのような動作になるはずなので、新規メンバーが過去のメッセージを参照できなくなりますので勉強会としては問題でしょう。)
他の設定は?
とにかく説明をよく読んで、その設定がどのように影響してくるのかよく吟味して下さい。
Google Groupsの挙動は、個々の設定よりも設定の組み合わせで大きく変わってきます。
アクセス権を細かく指定する事で、上記のようにメーリングリストとしても使えますし、SNSのようにも利用できます。
セキュリティ:他のGoogleのサービスとの違い
他のGoogleのサービスでも色々セキュリティのリスクが報告されていますが、Google Groupsは少々血色が違うのではないかと思っています。
他のサービスは既定の設定がまずいとか、URIにアクセスするだけで認証されたり閲覧できてしまったり等、比較的リスクが理解しやすいと思います。
しかし、Google Groupsの場合、上記した通り、その動きを設定で大きく変更できます。
その設定・挙動が管理者や意図したものかどうかわかりませんし、そもそも設定がわかりにくくなっています。
しかも、その挙動は情報の公開範囲や方法に影響します。
適当な設定をしていると、Google Groups経由のスパムだけでなく収拾されたメールアドレスにもスパムが送信されはじめるかもしれません。
管理者はどのような設定をすべきかだけではなく、参加するメンバー側も管理者がどのような設定にしているのか気をつけるべきかもしれません。
あとがき
Google Groupsのこの問題はあまり語られていない気がするのですがどうなんでしょう。
セキュリティの専門家の詳細な報告が見てみたいですね。

トラックバック

このエントリーのトラックバックURL:
http://www.kanasansoft.com/cgi/mt/mt-tb.cgi/201

コメントを投稿

(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)

Google