スパムメールがセキュリティリスクをもたらすことは知っていても、実際どんなものなのか、ちゃんと理解していない人は多いと思います。しかし、適切な対策をとるには正確な情報に基づいた理解が不可欠です。この記事では、スパムメールが個人や企業にどんな影響をもたらすのか、またどのように大切な情報を守れるのかについて解説します。
目次
スパムメールとは?
スパムメールが及ぼすリスク
単純なスパムメール以外の迷惑メール3種
スパムメールの被害事例
スパムメールを見分ける4つのチェックポイント
スパムメールを開いてしまったときの対処法
スパムメールの被害を防ぐ!知っておきたい6つの対策
スパムメール対策に「使えるメールバスター」を活用!
FAQ
スパムメールとは?
スパムメールとは、一方的に受信者の希望や都合に関係なく送られてくるメールのことです。ここでは、「スパムメール」という名前の由来や、スパムメールの歴史について説明します。また、総務省の調査によると、2009年に約9億5,000万通だった迷惑メールは2022年に約4億6,000万通に半減しましたが、未だになくならない理由についても解説します。
参考:「電気通信事業者10社の全受信メール数と迷惑メール数の割合(2022年9月時点)」(総務省)
(https://www.soumu.go.jp/main_content/000693529.pdf)をもとに作成
スパムメールの名前の由来は缶詰の「SPAM」
スパムメールと迷惑メールの実体はほぼ同じです。ただ、特に個人情報を取得したり、不正な請求を目的とした迷惑メールをスパムメールと呼び分けることがあります。
では、なぜ「スパムメール」と呼ぶのでしょうか?その由来は、1970年代の英・コメディ番組「空飛ぶモンティ・パイソン」にさかのぼるといわれています。この番組に登場する缶詰の「SPAM(スパム)」を連呼する場面から着想を得たハッカーが「SPAM、SPAM、SPAM‥‥」と繰り返す嫌がらせを、オンライン上のメッセージで行ったとのことです。ここから、相手の都合を意に介さずに大量に送り付けるメールを「スパムメール」と呼ぶようになったのです。
スパムメールの歴史
最初のスパムメールが確認されたのは1978年で、Gary Thuerk氏が397名の相手先に送ったのが始まりといわれています。そのため、Gary Thuerk氏は「The Father of Spam(スパムの父)」と呼ばれています。といっても、彼は悪意を持ってメールを送ったわけではなく、目的は自社製品の売り込みでした。
それから10年以上の歳月が経過し、1994年に本格的な迷惑メールが登場します。ある法律事務所が自社のサービスを宣伝するために、同じメッセージを6,000ものニュースグループに投稿しました。同社はそれだけにとどまらず、大量にメールを送信するソフトウェアを開発し、迷惑メールを送り続けました。
2009年にMicrosoftが行った調査によると、当時世界中で送られたメールの97%が迷惑メールだったといわれています。前述した総務省の調査結果によると、2009年1月の国内電気通信事業者10社が受け取ったメールは一日につき約13億2,000万通で、そのうち約72%にあたる9億5,000万通が迷惑メールでした。しかし、その後、通信事業者の対策が功を奏し、2022年9月には全受信メールに迷惑メールが占める割合は約35%まで減少しました。それでも一日あたりの迷惑メールの数は約4億9,000万通に上ります。日本人口が1億2,500万人だとすれば、1人あたり約3.9通の迷惑メールを毎日受信していることになります。
スパムメールがなくならない理由
スパムメールは、2002年に施行された「特定電子メール法」(迷惑メール防止法)によって禁止されています。2008年に同法は改正され、「オプトイン規制」を導入しました。これは、広告宣伝メールを送るには原則として受信者の事前承諾を必要とする制度です。また、受信者の承諾を得ているとしても、送信者には「送信者などの氏名又は名称」「受信拒否の通知を受けるための電子メールアドレス又はURL」などをメール本文に明記することが義務付けられています。また、同法では送信者情報を偽った、いわゆる「なりすまし」メールも禁止されていますが、スパムメールはなかなかなくなりません。
その最大の理由はコストの低さです。郵送物に比べてコストが低いことはいうまでもありません。また、スパムメールなら、プログラムで自動で送信できますし、送信先に応じて内容を変えることも簡単に自動化できるのです。
スパムメールが及ぼすリスク
個人にとってスパムメールは煩わしい存在ですが、企業にとってはさらに深刻な被害やリスクに繋がりかねません。ここでは、スパムメールが企業に及ぼすリスクについて取り上げます。
・業務効率の低下
前出の総務省の調査から分かる通り、今でも日本国内の企業には大量のスパムメールが送り付けられています。その多くがフィルタリング機能によって「迷惑メール」として自動的に分類されていますが、場合によっては重要なメールがスパムメールの中に埋もれてしまい、見落としてしまうこともあり得ます。
・ウイルス感染
単なる販促目的のスパムメールだけでなく、最近では「標的型攻撃メール」にも警戒しなければなりません。無差別にメールを送るのではなく、過去のメールのやりとりに使われた相手先や内容を悪用し、同僚やクライアントを装って不正なファイルを送り付けるのです。もし、その不正なファイルをうっかり開こうものなら、ウイルスに感染し、個人情報の流出にも繋がりかねません。昨今、個人情報保護に対する社会的認識が高まり、法規制も厳しくなっているため、自社で情報漏えいが発生したら、ステークホルダーからの信頼は失墜し、最悪の場合倒産にも繋がりかねません。
単純なスパムメール以外の迷惑メール3種
自社のサービス告知や製品の販促を目的とした単純なスパムメールだけでなく、悪意ある迷惑メールにはさまざまな種類があります。それらのスパムメールの攻撃を受けると、より深刻な被害を受けかねないため、その実態や対策についてきちんと押さえておかなければなりません。
ここでは、その代表的な3種、フィッシングメール、ウイルスメール、標的型攻撃メールについて説明します。
1. フィッシングメール
フィッシングメールとは、ECサイトや大手金融機関を装ってメールを送り付け、偽サイトに誘導することでユーザの個人情報を盗取することを目的とした詐欺メールです。
フィッシングメールは英語では「phishing」と表記されます。つまり、「魚釣り」を意味する「fishing」に「洗練された」を意味する「sophisticated」が組み合わされた造語です。この語から分かるように、フィッシングメールは一見して「詐欺メール」だと判別できないように、とても「洗練され」作り込まれています。
例えば、購入していないユーザを相手に、ECサイトを装って「購入確認メール」を送付する手口があります。ユーザは自分が購入していないため、「キャンセル」をクリックすることになります。そこからクレジットカード番号やECサイトのIDやパスワードを入力する画面に誘導され、うっかり情報を入力してしまうことで、情報は盗取されます。
また、最近増えているフィッシングメールの手口はスマートフォンのSMSにECサイトを装って「お荷物をお届けしましたが、不在でした。リンクを確認してください。」とメッセージを送る方法です。そのメッセージに載せられているURLをユーザにクリックさせ、個人情報入力ページに誘導します。
参考:「国民のための情報セキュリティサイト」(総務省)
(https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/security01/05.html)を加工して作成
2. ウイルスメール
ウイルスメールとは、その名の通り、不正なプログラムを含むファイルをメールに添付して送り付け、開いた受信者の端末にウイルスを感染させることを目的とした攻撃メールです。
ウイルスに感染すると、端末内で不正なプログラムが作動し、保存されているデータを破壊したり、盗取したりします。また、受信者の端末だけでなく、そこを踏み台にしてさらにウイルスメールをばらまくこともあります。ウイルスによって乗っ取られた端末は外部から遠隔操作が可能になり、自分が知らないうちに加害者になってしまうリスクもあるのです。
代表的なウイルスメールに、近年深刻な被害をもたらしている「Emotet(エモテット)」があります。エモテットの特徴は正規のメールに対する返信を装っているため、ウイルスメールと判別しにくい点です。そのため、受信者は添付されているExcelやOneNote形式のファイルを開いてしまい、エモテットに感染してしまうのです。
参考:独立行政法人情報処理推進機構 「Emotet(エモテット)攻撃の手口」
3. 標的型攻撃メール
標的型攻撃メールとは、無差別にばらまく一般的なスパムメールとは異なり、情報の盗取を目的として特定の相手をターゲットとするサイバー攻撃の一種です。
直接、メールを送り付けた組織や企業の機密情報を盗取する場合もあれば、別のシステムやネットワークを攻撃するための中継点を確保するために用いられることもあります。
国内では、近年病院をターゲットにした標的型攻撃メールが増加しています。その理由は、企業に比べて病院ではセキュリティ対策を後回しにしてしまう傾向があること、また病院には個人の重要な情報が保存されている点が挙げられます。
サイバー攻撃とは何かを知りたい方はこちら
スパムメールの被害事例
独立行政法人「国民生活センター」が2020年11月に公表したところによると、全国の消費生活センターには、宅配便業者を装った「不在通知」の偽SMSに関する相談が寄せられているとのことです。
その手口は、スマートフォンなどに偽サイトに誘導するSMSを送り、不正なアプリをユーザがダウンロードするように仕向けるだけでなく、そのユーザを踏み台にして、さらにスパムメールが多数送信されるというものです。結果的に身に覚えのない請求が届いたり、入力した個人情報が漏えいしたりするなどの事態が発生しています。
参考:独立行政法人国民生活センター 「宅配便業者を装った「不在通知」の偽SMSに注意しましょう-URLにはアクセスしない、ID・パスワードを入力しない!-」
スパムメールを見分ける4つのチェックポイント
スパムメールを受信した場合は、すぐに削除し、添付ファイルを開かないようにすることが鉄則です。しかし、どうすればスパムメールかどうか見分けられるのでしょうか?
ここでは、「メールアドレス」「メールの宛先」「メール本文」「添付ファイルやURL」の4つのポイントから判別する方法について紹介します。以下、一つずつ解説します。
1. メールアドレス
まず、メールの送信元アドレスをチェックしましょう。心当たりのないアドレスはもちろんのこと、ドメインがランダムな英数字によって構成されている場合、スパムメールの可能性が高いといえます。
また、実際に存在する企業や組織名を装うために、大文字「I(アイ)」を小文字の「l(エル)」に、数字の「0(ゼロ)」を大文字の「O(オー)」に置き換えているケースもあるようです。
2. メールの宛先
別のポイントとして、メールの宛先に注意しましょう。メールの宛先とはいうまでもなく、受信者のメールアドレスです。例えば、「To」に自分のメールアドレスが入っていないのにメールが届いているケースがあります。また、メールアドレスは合っていても、メールの本文に宛先が適切に書かれていないこともあります。そういう場合はスパムメールの可能性を疑いましょう。
3. メール本文
さらに、メール本文もチェックしておきましょう。スパムメールの場合、メール本文の日本語が不自然な場合があります。スパムメールによって相手を騙したいなら、なぜ不自然な日本語の文章を送っているのか、と不思議に思うかもしれません。
その理由として、スコットランドのセント・アンドルーズ大学のITサービスチームのべサニー・マクナリー氏によれば、それは意図的なものであるとのことです。つまり、スパムメールの送信者は不自然な文章にも気付かない、つまり内容をきちんと読まない人をターゲットにしているのです。
4. 添付ファイルやURL
スパムメールの多くには、ファイルが添付されていたり、メールの本文に別サイトに誘導するURLが記載されていたりします。自分が同意していないにもかかわらず、送られてくるメールの添付ファイルや記載されているURLはクリックしたり、開いたりしないのが最善です。
もっとも前述したエモテットのように、正規メールを装って送られてくるメールもあるため、判別が難しい場合もあります。判断に迷った場合は、上に挙げた3つのポイントも含め、スパムメールではないことを慎重に確認するようにしましょう。
スパムメールを開いてしまったときの対処法
スパムメール対策として何よりも重要なのは、上述したポイントに沿ってスパムメールを前もって見分けることです。スパムメールだと分かればそれを開かずにすぐに削除することが鉄則です。しかし、巧妙な手口も増えており、うっかりスパムメールと気付かずに開いてしまうことも考えられます。その場合もできるだけ早めの対処が必要です。
ここでは、具体的な3つの対処法について紹介します。
端末をネットワークから遮断する
スパムメールの中には、受信した端末だけでなく、そこを踏み台にしてさらにスパムメールを広げていくものがあります。もしそうなれば、社内のPCはすべて感染してしまうことにもなりかねません。
もし、うっかりスパムメールの添付ファイルやURLをクリックしてしまったら、その端末をネットワークからすぐに遮断しなければなりません。具体的には、有線LANはケーブルから外し、無線LANはWi-Fiをオフにしましょう。そうすることで、被害を最小限に抑えることができます。
ウイルスチェックを行う
次に行うのはウイルスチェックです。社内ネットワークには必ずウイルス対策ソフトがダウンロードされているはずですから、ソフトのウイルスチェック機能を使って、端末がウイルスに感染していないかを確認します。もし、すでに何らかのマルウェアに感染していた場合は、ソフトが対策を講じてくれるため、被害を最小限に抑えることができます。
こうした事態に対処するためにも、ウイルス対策ソフトは常に最新のバージョンにアップデートしておくことが重要です。アップデートを怠っていると、常に進化するマルウェアの攻撃に対処できなくなる可能性があります。
フィッシングサイトに入力した情報の変更・停止
もし、フィッシングメールに促されるままにフィッシングサイトのURLを開き、クレジットカード番号やID、パスワードなど個人情報を入力した場合は、すでに情報漏えいしていると考えるべきです。そのため、入力してしまったクレジットカードのカード会社にすぐに連絡し、使用停止を要請しましょう。また、パスワードやIDも悪用されるリスクが高くなるため、面倒くさがらずに、すぐに変更しなければなりません。
スパムメールの被害を防ぐ!知っておきたい6つの対策
以上を前提にして、ここでは企業が自社の資産ともいうべき情報をスパムメールから守るために行うべき6つの対策について解説します。
・メールサーバ側でフィルタリングを設定する
・メールソフトで迷惑メールフィルタを設定する
・指定受信・指定拒否を設定する
・添付されたリンクやファイルは不用意に開かない
・迷惑メールフォルダは定期的に空にする
・セキュリティソフトを導入する
以下、一つずつ解説します。
1. メールサーバ側でフィルタリングを設定する
メールサーバ側でフィルタリング設定を行い、スパムメールを判別する方法です。大きく分けて、迷惑メールフォルダに分類してしばらく保留する方法と、受信するときに振り分けやすいようにラベリングする方法があります。
前者の場合はユーザ側には配信されないため、定期的に迷惑メールフォルダをチェックして、正当なメールが間違って振り分けられていないか確認する必要があります。後者の場合は、受信者側で判別できますが、スパムメールの配信が多い場合、振り分けるのに手間がかかります。ただ、仕分けを自動に設定すれば手間を省くことができるでしょう。
2. メールソフトで迷惑メールフィルタを設定する
Microsoft、macOSいずれもメールソフトで迷惑メールフィルタを設定できます。例えば、Microsoft Outlookであれば、「設定」→「メール」→「迷惑メール」の順に選択し、「受信拒否リスト」にメールアドレスを追加します。設定の仕方はバージョンによって異なりますので、詳しい設定方法についてはMicrosoftのサポートサイトを参照することをおすすめします。
Gmailを使用している場合は、デフォルトですべてのメールを対象に、迷惑メールかどうかがスキャンされるように設定されています。Gmailでは、この設定は無効にできませんが、スキャンをカスタマイズすることはできます。
参考:Microsoft 「Outlook で迷惑メールとスパムをフィルター処理する」
参考:Google 「Gmail のカスタム迷惑メールフィルタを作成する」
3. 指定受信・指定拒否を設定する
フィルタリング設定をすることで、メールを受け取る際に相手のメールアドレスによって、受信したり、受信を拒否したりします。フィルタリングの設定は大きく分けて「ブラックリスト」と「ホワイトリスト」があります。
ブラックリストとは、迷惑メール業者やスパムメールを送り付けてくるサーバをリスト化することです。送られてきたメールのアドレスがブラックリストに載せられていれば、受信を拒否します。逆にホワイトリストには、正規の通信事業者などが含まれます。
ホワイトリストだけでフィルタリング設定をすると、指定したメールアドレス以外は受信を拒否するため、利便性が落ちます。逆にブラックリストだけでフィルタリング設定をすると、設定したアドレス以外はすべて受信するため、利便性は高まりますが、新たに発信されるようになったスパムメールには対応できないというデメリットがあります。
そのため、ホワイトリストとブラックリストを併用したり、フィルタリングだけでなく、他のセキュリティ対策も講じることが必要です。
4. 添付されたリンクやファイルは不用意に開かない
エモテットの例からも分かるように、一見信頼できるように見える内容だったとしても、ウイルスメールによる攻撃の可能性もあります。特に添付されたファイルや、記載されているリンクを開くことに対しては慎重であるべきです。
ここでは、被害が急増しているエモテットによる攻撃に使用される不正ファイルについて触れておきます。独立行政法人情報処理推進機構(IPA)によると、エモテットに感染させるために使用されるのは、悪意のあるマクロ(プログラム)が埋め込まれたWord文書とExcelファイルが多いとのことです。
基本的にMicrosoft Officeでは、マクロは自動的に実行されず、実行を選択しようとすると「セキュリティの警告」メッセージが表示されます。ここで「コンテンツの有効化」ボタンをクリックすると、マクロが実行され、不正プログラムのダウンロードが始まります。そのため、送られてきた添付ファイルが信頼できる確証がない限り、「コンテンツの有効化」ボタンは押さないように注意してください。
また、IPAは2023年3月にMicrosoft OneNote形式のファイルを悪用して、エモテットに感染させる新たな手口も確認しました。この場合、添付ファイルを開くと「View」ボタンを押すように促されますが、うっかりクリックすると、悪意のファイルが実行され、端末がエモテットに感染する恐れがあります。
5. 迷惑メールフォルダは定期的に空にする
フィルタリング設定によって、スパムメールは自動的に迷惑メールフォルダに分類されます。しかし、だからといってそのまま放置しておくなら、うっかりクリックしてしまうリスクがあります。特にエモテットのように、身近な同僚などからのメールを装って送られてくる場合、迷惑メールフォルダに仕分けられていても、「見落としていた!」と慌てて開いてしまう可能性があります。そのため、迷惑メールフォルダは定期的に空にすることをおすすめします。もしくは、一定の時間が経過すれば自動的に空にする設定も可能です。
6. セキュリティソフトを導入する
セキュリティソフトを導入しない企業はないと思いますが、迷惑メール対策に関していえば「アンチスパム機能」に注目しましょう。
アンチスパム機能は主に「送信元のIPアドレスのチェック」「添付ファイルのチェック」「メッセージ本文のチェック」「許可、拒否リストのチェック」の4つの機能から成り立っています。「メッセージ本文のチェック」とは、感染サイトやフィッシングサイトに誘導するメールなど過去の事例と比較し、それに類似するメールを判別してブロックする機能です。
スパムメール対策に「使えるメールバスター」を活用!
一口にセキュリティソフトといっても、さまざまなタイプのものがあり、選ぶのに迷ってしまうと思います。ここでは、使えるねっとが提供するクラウド型のスパムメール対策「使えるメールバスター」をご紹介します。
使えるメールバスターをおすすめする理由は業界最安レベルのコストの低さ、独自の学習型AIで続々と登場する新しいスパムにも対処できること、また完全クラウド型のためメールサーバの負荷を軽減できることです。
以下、一つずつ詳しく解説します。
業界最安レベルで迷惑メール対策ができる
使えるメールバスターの特徴の一つは圧倒的なコストパフォーマンスの高さです。特に多くの中小企業ではセキュリティ対策の重要性は分かっていても、コストの問題が障壁となり、なかなか着手できないという声を聞きます。
この点、使えるメールバスターは完全クラウド型のため、アプライアンス機器を購入するなどの初期投資は不要で、低コストで始められます。月額10,210円で、1ドメインで300メールアカウントの登録が可能です。つまり、1メールアドレスあたりの単価は34円です。
独自の学習型AIで新たなスパム・ウイルスに対応
使えるメールバスターは独自の学習型AIを搭載。使えば使うほど判別精度が向上し、安全なデータの収集と分析で継続的な改善を行います。スパムメールやマルウェアは絶えず新しいタイプが登場しますが、学習型AIで即座に検出し、ブロックしてくれます。これにより使えるメールバスターは、ほぼ100%のスパムメール検出率を誇ります。
同時にスパムメールが自社のネットワークから送信されるのも防いでくれるため、ブランドイメージを損なうことなく、顧客からの信頼を守ることができます。
完全クラウド型でメールサーバの負荷を軽減
使えるメールバスターは完全クラウド型のため、大量の迷惑メールが来たとしても、メールサーバの手前でシャットアウトします。そのため、自社のメールサーバにかかる負荷を最大80%削減し、リソースの効率化を図ります。
さらに使えるメールバスターのWEB管理画面はユーザフレンドリーで簡単に操作できるため、従業員の生産性の向上に繋がります。宛先メールサーバにドメインを追加し、MXレコードの単純な変更をするだけでサービスを開始できます。
使えるメールバスターのお申し込みに必要なのは、たったの3ステップ。まずはプランを選んで申し込み、初期設定をして、MXレコードの設定を変更すれば完了です。スパムメールに悩まされている方は是非お気軽にお問い合わせください。
使えるメールバスターの詳細はこちら
FAQ
(1)スパムメールを削除するには?
スパムメールは、メールサーバのフィルタリング設定によって自動的に迷惑メールフォルダに移動しますが、セキュリティ面で万全を期すためには、定期的に削除していくとよいでしょう。例えば、Gmailでは、左上にある「メニューアイコン」から「迷惑メール」をタップし、「迷惑メールを今すぐ空にする」をタップすることで、スパムメールを削除できます。
(2)メールアドレスはどこから流出するの?
スパムメールの根本原因はメールアドレスの流出です。その経路はさまざまで人為的な設定ミス、マルウェアの感染による流出、不正な個人による情報取得などが考えられます。また、診断系サイトや検証サイトなどでメールアドレスの入力が求められることがあります。何気なく入力した結果、メールアドレスがどこかに流出しているケースも考えられます。
(3)スパムメールを放置するとどうなる?
自社サイトを運営している場合、お問い合わせフォームに大量のスパムメールが届くことがあります。もし、それらのスパムメールを放置すると、ウイルスに感染するリスクのほか、自社サイトの評価が下がる可能性もあります。もし、自社サイトの評価が下がれば、検索上位に表示されにくくなり、サイトを訪問してくれるユーザが減り、最終的には売上にも影響が出かねません。
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)
.png)
