FSF、Gmailアカウントから1万件超のスパムメール送信問題でGoogleへの連絡を試みる

Hacker Newsの意見

• 私は、誰かが私の名前と事業をかたって Gmail アドレスで詐欺行為を試みていた問題を解決するため、被害届を作成して Google 法務部に書留郵便で送った
  この手続きはかなり面倒で 3 時間ほどかかったが、ほかに方法がなかったので必要な手順だった

  • これは約 1 か月前のこと。参考になればと思い、私が送った宛先を共有する
    Google LLC, Attn: Legal Department – Custodian of Records, 1600 Amphitheatre Parkway, Mountain View, CA 94043
    手紙には問題の状況と希望する対応（該当 Gmail アカウントの閉鎖と IP 保全の要請）を書き、詐欺被害者が送ってきたメールスレッドの印刷物と被害届を同封した
    約 1 週間後に Google から連絡があり、アカウントが閉鎖されたことを確認できた。ただし、データ保全や他サービスでの対応については分からなかった
    FBI の Internet Crime Complaint Center にも届け出たが、正直に言って単なる形式的な手続きに感じられた
  • いいアイデアだと思う。私も YouTube Premium のアカウントがロックされたのに料金だけ請求され続けた
    ログインしないとサポートに連絡できず、結局クレジットカード番号を変えるしかなかった
    それでも請求は続き、カード会社からはアカウント自体を完全に閉じる必要があると言われた
  • こうやるべきだ。証拠としての書面記録(paper trail) が責任の所在をすべて明確にする
  • ところで、手紙に弁護士であることを明記したのか気になる。Google が法律事務所の書類だと認識すれば、対応が違ったかもしれない
  • でも、その人物が新しい Gmail アドレスでまた試せないように防ぐ方法はなかったのだろうか

• 私は Google、Amazon、Microsoft にabuse 通報を試みたが、途中で諦めた
  通報は無視され、大手プロバイダーは何もしない。FSF が動いて何かを変えてくれることを願う
  今のスパムの主な発生源はこの 3 社だ。巨大になりすぎて、もはや遮断すら難しいレベルだ
  私たちが傍観してきた結果だと思う。この議論でも、ほとんどの人が Gmail をメインのメールとして使っているのではないか？

  • YouTube で何日もボットアカウントを通報していたが、逆に「虚偽通報が多いと停止される可能性があります」というポップアップが出ただけだった
    Google は本当にボット対策ができないのではなく、そもそも試してすらいないように見える
  • これは事実上の独占(monopoly) だ。自立のために自前でメールサーバーを運用している人もいるが、Gmail ではしばしばスパム扱いされる
    DMARC のような標準が、かえって大企業により大きな影響力を与える構造なのが悩ましい
  • 私はそうではないが、多くの人は月 10 ドル払うのを嫌がる
    メール 1 通の価値をビール 1 杯分くらいに考えている

• うちの会社の営業チームは Gmass を使って大量メールを送っているが、スパム報告が多いと Google はアカウントを停止する
  Google がメールの悪用監視をしているという点で、参考になるデータだと思う

  • それを「強力な監視」と呼ぶにはあまりにお粗末だ。Gmass のようなツールが存在していること自体が恥ずかしい
  • 話を聞く限り、あなたの会社の営業チームは実質的にスパマーのように聞こえる
  • 営業チームが送っているメールはコールドメールなのか、それとも既存顧客向けなのか気になる
  • スパム報告は Gmail の Web インターフェースからしかできないので、FSF のような団体は通報自体が難しい
  • もし監視が Gmail 内でしか機能しないなら、非 Gmail ユーザーには Gmail 発のスパムを通報する手段がない
    Google はメールエコシステムの受信側に悪影響を与えている

• この 2～3 年で 4 台の postfix サーバーを運用して観察した結果、Gmail はもはやホワイトリストに載せられないレベルだ
  スパムとフィッシングが多すぎる
  その一方で、ユーザーが Twitter や LinkedIn の通知を Gmail にリダイレクトすると、Google は「送信が速すぎる」として IP をブロックする
  本当に笑うに笑えない状況だ

• 最近、自分のサーバー上の個人メールアカウントが短時間に大量のメールを受け取る現象を見た
  すべて Google Groups 経由で配信されたもので、グループ ID は毎回違い、後で見るとグループ自体が削除されている
  メール内容は正当な自動応答のように見え、悪意のあるリンクや広告もない
  おそらく何らかのボットが Google グループを作成し、適当なメールアドレスを購読させたうえで、そのアドレスをさまざまな Web フォームに入力しているのだろう
  仕組みは分かるが、ここまで手間をかける理由が気になる

  • これはほぼ確実にsubscription bombingだ。被害者の受信トレイを正当な自動メールで埋め尽くし、重要なメール（パスワード再設定など）を見落とさせる攻撃だ
  • 私も同じ問題に遭った。誰かが返信すると全購読者にそのメールが届き、「リストから外してくれ」という返信が殺到する
    結局、受信拒否ルールを作って遮断した

• IT コミュニティが、Gmail のような「ブロックするには大きすぎる」サービスを敵対的な存在と見なして遮断する時期に来ているのではないか、と言いたい

  • 「IT コミュニティ」なるものは実際には存在しない。IT 従事者の大半は Google やそれに類する会社に属している
    だから、こうした変化は理論上だけ可能な話だ。
    物理の世界では力と質量で変化を説明するが、人間についてはただ「そうなればいい」という願望しか語られない
  • Microsoft は正当なメールであっても hotmail.com に配信しない
    私は SPF、DMARC、DKIM をすべて設定し、スパムも送っていないのに、それでも弾かれる
    だから hotmail ユーザーにはもう電話で連絡している

• 私は 5 分おきにスパム電話を受けていたが、攻撃者が誤って AWS バケットの URL を残した
  Amazon にabuse 通報すると、すぐにそのスパムグループは解体され、その後は電話も止まった
  通報時に「わいせつ物や不適切な画像が含まれている」と言えば、さらに早く処理されるかもしれない

• Gmail、Outlook、Salesforce がスパム全体の 90% を占めている
  Salesforce はネットワーク遮断で対処できたが、Gmail と Outlook には手がない

  • 以前は Azure や Sendgrid からのスパムも多かったが、今ではほとんど消えた
    今はGoogle Cloudがスパムの 80% を占めている
  • Salesforce は Gmail でホワイトリストされているようだ。役に立たないメールが多すぎる
  • Mailchimp も同じだ。これまで受け取った Mailchimp のメールで、スパムでなかったものは 1 通もない

• 現実的には、ボット通報サービスを雇って問題アカウントを大量に通報する方法しかない

• 最近、「.bc.googleusercontent.com」ドメインから来るスパムが急増している

  • メールサーバーの設定次第ではあるが、私は googleusercontent.com から来るメールはすべて 5xx で拒否すると思う
    Google が OpenBSD メーリングリストをスパム扱いして以来、自前で MX サーバーを運用している
    顧客がいるならログを分析して legit なトラフィックがあるか確認し、基本的にはスパムとして扱うのがよい
    もし社内で Google を使うワークフローがあるなら、VPN など別の方法に置き換えて、
    googleusercontent.com 全体を SMTP でブロックするのが理想的だ
    ただし古いシステムがあるかもしれないので、数か月かけて段階的にテストするか、一気に遮断して結果を見る方法もある