インターネットの黎明期から存在するスパムメールは、時代が進んだ現在でも執拗に送信され、多くの場合は「迷惑メール」としてフィルタリングされる。一見すると無意味に思われるスパムメールはなぜ送付されるのか。この記事ではスパムメールを攻撃者が送付する背景やそのメリット、ユーザー側の対策を考察していく。
スパムメールとは?
「スパムメール」とは、プログラムで機械的に大量に一括送信され、かつ受信者にとってほとんどメリットにならない、パーミッション(Permission:受信の許諾)を得られていないようなメールのこと。一般的には、「迷惑メール」とも呼ばれる。英語では「Junk Mail(がらくたのメール)」、「Bulk Mail(一括送信のメール)」などと呼ぶ場合もあるが、「Spam Mail」で通じる。
「スパム」とは「ランチョンミート」、すなわちソーセージの原料を腸詰めではなく缶詰にした製品のことだ。肉製品としては比較的安価で賞味期限も長いという特長から、20世紀前半の戦争の際に、日々の食糧として供されていたことがある。そこから「連日繰り返され飽き飽きする」という意味合いも有することになった。イギリスのコメディ番組「空飛ぶモンティ・パイソン」において、メニューがスパムだらけという状況で、店員と客が「スパム」を連呼し、最後はスタッフロールすら「スパム」だらけになるというコントが「スパム」を印象付けることとなった。
その文脈から派生し、現在はインターネットでの迷惑行為としてメッセージの送信を繰り返すことを「スパム」、執拗に送りつけられるメール自体のことを「スパムメール」と呼ぶようになったとされる。スパムメールは受信者にとって「繰り返す」、「鬱陶しい」だけにとどまらず、あまりにメールが多すぎて本来見なければならないメールを見損なってしまうなどの問題も引き起こす。また、以下のような「実害をもたらす」点が特徴だ。
広告宣伝を目的とするもの
世界最初のスパムメールが「米国の永住権(グリーンカード)抽選に申し込みませんか」という宣伝だったように、古くから存在して迷惑メールの大半を占めるのがこのタイプだ。アダルトサイトや悪質な出会い系サイトなどに誘導するメールも今なお多い。近年のISP(インターネットサービスプロバイダー)によるスパムフィルター機能の強化により、ユーザーが目にする頻度は少なくなってきているものの、中には巧妙にすり抜けてくるメールもあるため注意したい。
詐欺、なりすましを狙うもの
送信者を詐称してフィッシングサイトにアクセスさせ、クレジットカード番号やアカウント情報など、経済的に価値のある情報をだまし取る「フィッシングメール」などがこのタイプに該当する。また、スマートフォンのSMS(ショートメッセージサービス)を使用した「スミッシング」も年々増加傾向にある。典型的なものとしては、著名で多くのユーザーが利用しているサービスや企業になりすましたスパムメール、SMSを用いて偽のWebサイトに誘導する、という手口だ。
マルウェア、ランサムウェア感染を狙うもの
マルウェアやランサムウェアの感染を狙うスパムメールは、マルウェアやそのダウンローダーが添付ファイルとなっているものが多い。また、感染用にダウンローダーを仕込んだWebサイトにアクセスさせることでユーザーに次のアクションを促し、マルウェアの感染を狙う巧妙な手口もある。取引先、友人、知人になりすますケースのほかに、オンラインショップ、運送会社、携帯電話キャリアを騙るケースも最近では増えている。
スパムメールが減らない理由
インターネットの歴史が始まって以降、スパムメールが消滅したことはない。ISPやWebメールの事業者、携帯回線のキャリア事業者などがさまざまな対策を講じてきたものの、一向に減少していないのが実情だ。その理由として以下3つが挙げられる。
メールは郵送物などと比較して、コストを抑制できる
郵送物は数量に応じて印刷や封筒、郵送のコストがかかるが、スパムメールではほぼ不要と言える。正確に言えば、送信データ量に比例してコストがかかるものの、サーバー周辺のコストが低下した今ではそのコストは取るに足らないと言っていい。その結果、今なお無差別爆撃的にスパムメールが流通しているのだ。
プログラムで自動的に送信できる
コンピューターでメールを送信しているところからも想像できるとおり、メールアドレスのリストを読み込むだけで、複数箇所にスパムメールの送信が可能だ。また、送信先に応じて件名や文面を変えるという処理もプログラムで簡単に自動化できてしまう。ユーザーの属性をデータベース化し、機械学習を用いてユーザーごとに本文の内容を変えて送付するようなスパムメールが主流になることも今後見込まれる。
送信先のメールアドレスを入手しやすい
スパムメールに用いるメールアドレスのリストは手段を選ばなければ、購入することも可能だ。個人情報保護法にオプトイン条項が盛り込まれるまでは、国内でも業者からリストを購入するという行為が当たり前のように行われていた。また、Webサイトを巡回するクローラーを用いてメールアドレスを収集する方法もある。ただし、国内では個人情報保護法により、このように取得したメールアドレスにスパムメールを送付することは違法となる。
なお、郵送物では実際に開封されたかどうか判別できないが、インターネットメールの場合は送信時に設定すればメールの開封やリンクのクリックなどを確認できるため、有効なメールアドレスだけに絞り込んだリストの作成も容易だ。また、そうしたメールアドレスのみを転売するという方法もある。
要するに、スパムメールは詐欺や犯罪を企む攻撃者にとって「コストパフォーマンスが高い」ツールとなっている。攻撃者にとっては多額のコストをかけずに効果的な攻撃を仕掛けられるため、スパムメールは今なお減らないのだ。
攻撃者がスパムメールを送信することのメリット
日常生活がデジタル化するのに伴い、サイバー攻撃におけるエコシステムが確立しつつある。その背景には、分業制を敷いても、対価を得られやすいという実態がある。スパムメールはそれぞれの目的ごとに、攻撃者が得られるメリットも変わってくる。
広告宣伝を目的とするもの
10年以上前には、商材購入への誘導のために、広告宣伝を目的としていたスパムメールが少なくなかった。名簿屋と呼ばれる業者からメールアドレスを購入し、自社商材の宣伝として無作為に配信していた。しかし、国内でも個人情報の取り扱いが厳格化されたことで、このような目的のメール配信はできなくなっている。今なおこの類で送られてくるスパムメールは、後述するフィッシング詐欺やマルウェア感染を狙って送付されるものが多い。
詐欺、なりすましを狙うもの
昨今ではフィッシングサイトへの誘導を企むスパムメールが多数見受けられる。以前はメール文面が不自然、片言の日本語、文字コードのエラーによる文字化けが生じているもの、あるいは文面の内容が本人と関連性がないものが多かった。しかし最近では、文面には自然かつ流ちょうな日本語が使われ、内容も送付先の属性に合わせた巧妙なものになりつつある。また、コロナ禍に関連した給付金やその手続きなど、人々が関心を持ちやすい時事ネタを練り込み、開封やクリックを誘発する手口も増えている。
攻撃者は巧みな手法を用いて、フィッシングサイトへと誘導する。フィッシング詐欺の場合、換金方法は主に2つある。1つは、クレジットカードや決済サービスのアカウント情報を詐取し、金銭に変える方法。もう1つは、アカウント情報や個人情報などをダークウェブなどで売買する方法だ。悪質な詐欺手法が日夜生まれており、今後もより巧妙な手口や換金方法が生まれてくることが見込まれる。
マルウェア、ランサムウェアの感染を狙うもの
近年、被害件数が増加しているのがランサムウェアによるものだ。ランサムウェアの基本的な手口は、データを暗号化して、それらを復号する際の条件として身代金を要求する。また最近では、そのデータの一般公開も併せて脅迫するダブルエクストーションと呼ばれる手口も増えている。ランサムウェアの感染を狙うケースでは、主に起点となるのが標的型メールによる攻撃だ。
標的型メールの場合、メール文面がターゲットごとに巧妙にカスタマイズされているものが多く、中にはメールサーバーに侵入し、履歴情報を元にして偽装するケースもあるとされる。巧妙かつ手間がかかる手口を攻撃者が用いるのは、攻撃成功時の対価が総じて大きいためだ。過去には、身代金などで得られる金額が億単位に上った事例も発生している。近年、RaaS(Ransomware as a Service)と呼ばれる攻撃用のパッケージがダークウェブ上で流通するなど、攻撃が容易になる環境も着々と整備されている。
スパムメールへの対策
攻撃者にとって効率的な犯罪手法として確立しつつあるスパムメールによる攻撃は、今後も手を替え品を替え、残り続けることは自明だろう。そのため、ユーザーとしては、日々変化していく攻撃手法を踏まえた対策が求められる。攻撃者はユーザーの注意力が欠落しやすい行動を狙うため、厳重に警戒しながら以下のような対策を講じておきたい。
メールソフト、Webブラウザーは最新のものを用いる
メールソフトに脆弱性があった場合、メール本文を開いた際に添付ファイルを開封していなくても感染した事例がある。メールソフトに脆弱性が発見された場合、早急に最新のアップデートを適用すること。また、メールソフトがHTMLメールを表示する際にWebブラウザーのエンジンを利用するケースがあるため、Webブラウザーのバージョンも最新にしておきたい。同様に、Webメールを使っている場合も、Webブラウザーのアップデートが欠かせないことは言うまでもない。
不審なURLにアクセスしない
メール文面内のURLの文字列を確認し、不審な点が見られる場合はクリックするべきではない。例えば、フリーのダイナミックDNSで有名な「duckdns」といった文字列が含まれる場合や、著名なサービスの一部を変更しているものなどがこのケースに該当する。
文字列自体は正規のものであっても、リンク先が異なるケースも少なくない。パソコンなどではマウスのポインターを当てることで、アドレスバーにリンク先が表示される。表示されている文字列とアドレスバーのURLが異なる場合などは不審なものであると疑い、それらをクリックせず、ブラウザーのブックマークなどからアクセスするようにしてほしい。
ほかにも、URLを短縮するサービスを悪用して、ユーザーごとに異なるパラメーターを埋め込むことで、メールアドレスがアクティブかどうかを確認するといった手口もある。仮にこのように悪用されたURLをクリックした場合、一定時間経過後に標的型攻撃などのリスクが生じる可能性もある。
図1: Chrome上で表示される危険性を通知する画面の例
危険なURLにアクセスした場合、図1のようにChromeなど一部のWebブラウザーでは、「悪意のあるユーザーによってソフトウェアのインストールや個人情報(パスワード、電話番号、クレジット カードなど)の入力といった危険な操作を行うよう誘導される可能性があります。」と通知してくれる保護機能もある。この機能を有効に活用するためにも、Webブラウザーのアップデートは常に最新にしておくべきだろう。
迷惑メールフィルターを利用する
迷惑メールフィルター機能はISPやアプリなどでも提供されている。より安全性を高めるために、セキュリティソフトが提供する機能を用いる方法もある。
例えば、企業向けに提供されている「ESET PROTECT Entry クラウド」では、高度な学習機能を用いて迷惑メールに対応する。フィッシングサイトと疑われるURLをクリックしてしまった場合には、アクセス遮断機能が自動的に働くため、二重の対策を講じることが可能だ。
日常的に注意力を持つことがスパムメール対策として非常に重要なことは言うまでもない。しかし、ふとしたタイミングでヒューマンエラーは起こり得る。そういった際に被害に遭遇しないためにも、上記に挙げた対策に加え、積極的にツールを活用して補完しておくのが望ましいだろう。
