「迷惑メール 」はこの項目へ転送 されています。架空請求サイトのURLを記載したメールについては「ワンクリック詐欺 」をご覧ください。
スパムメッセージのあるフォルダ
スパム (spam ) は、受信者の意向を無視して無差別かつ大量に一括してばらまかれる各種ネットメディアにおけるメッセージのこと。
当初は、電子メール (SMS を含む)サービス開始と共に電子メール におけるスパムが席巻した。近年は各種SNS に同様な迷惑行為もある。
「迷惑メール 」という語もあるが、その内容が迷惑であろうが、仮に有用であろうが「受信者や媒体の意向を無視して、無差別かつ大量に一括してばらまく」のがスパム行為であって別の語である。
語の由来については、スパム#迷惑行為とスパム を参照。
概説
スパムメールは、宣伝 目的で一方的に送られる電子メールである。販売側から見て、不特定多数の個人に対して広告 活動をするとき、郵便 に比べて電子メールでは以下のような特徴がある。
郵便 では一通ごとに内容の印刷 と郵送 料によって出費が発生するが、電子メールはインターネット接続料金のみで送信できるため、コストが非常に低い。
短時間に大量の一括送信が可能。
封筒 ごと捨てられる恐れがなく、題名だけでも受信者の目に触れる可能性が高い。
インターネットの普及とともに、無差別送信されるメールは急増した。セキュリティソフト 会社マカフィー が2010年4月から6月にかけて調査した結果では、スパムメールの1日あたり配信数は約1750億通とされている[1] 。メール使用者にとって必要な通常のメールよりも、これらスパムがはるかに多く届くといった事態にもなり、大きな社会問題 となっている[2] 。
なお、語源となった商品名 (#語源 参照)との混同や、一種のインターネットジャーゴン(専門語) である「スパム」を避け、日本語を使ってわかりやすく「迷惑メール」と呼ばれることも多い。
受信者に直接送信されるスパムの他に、宛先不在のスパムを、記述されている偽の送信元に返信することにより生じるbackscatter (後方拡散)、またはcollateral spam (巻き添えスパム)と呼ばれる二次被害を起こすこともある。
世界最初のスパムは、コンピュータ会社のディジタル・イクイップメント・コーポレーション が1978年5月に送信したものとされる[3] [4] 。内容はDECSYSTEM-20 の製品発表会の案内で、約400人に送信された。
対象となるメールや別の呼び方
これらの無差別かつ大量に一括して送信される電子メールのほとんどは広告メールで、「迷惑メール」「ジャンクメール (junk mail)」「バルクメール (bulk mail)」とも呼ばれ、日本国内においては総務省 などの省庁 が使う表現に従って「迷惑メール」と呼ぶことが多い。アダルト 向け勧誘やワンクリック詐欺 のURL が記されていることがある。
英語では、次のように呼ばれることもある。
UCE (Unsolicited Commercial Email)
勝手に送りつけてくる宣伝 電子メール
UBE (Unsolicited Bulk Email)
勝手に送りつけてくる大量の電子メール
なお、コンピュータウイルス やワーム から無差別的に発信される電子メールも存在し、「ウイルスメール」と呼ばれることがある。このメールに添付されるファイル は、ウイルスそのものである場合が多く、厳重な警戒が必要である。
語源
語源は、缶詰 の "SPAM " およびコメディ番組『空飛ぶモンティ・パイソン 』のスケッチ 、『スパム 』から来ている。
スパムではないメールのことを、スパムに準えて"ham"(ハム )と表現することがある。アンチスパム ソフトウエアでhamという表現が採用されていることがある[どれ? ] 。
内容など
宣伝
有料ないし無料の会員制出会い系サイト 、アダルトサイト 、ネズミ講 (英: Make Money Fast )、マルチ商法 、株取引[注 1] 、商品の販売、ディプロマ・ミル (学士 号・修士 号・博士 号など学位 の販売)、オンラインカジノ (日本からの利用は違法)、ダイエット ・アダルト関連の医薬品 類の販売など。出会い系サイト の宣伝がきっかけで、青少年 が性犯罪 に巻き込まれるケースもある。海外発とみられるものも多い。広告宣伝メールでは、オプトアウト することは逆効果である。
また、社会問題 に関する訴えや、思想宣伝的な意図をもって流布される内容のスパムもある。
詐欺
2003年 頃から、有料成人向け 番組、ツーショット ダイヤル、ダイヤルQ2 、有料出会い系サイト 等、実際には利用していない有料情報サービスの利用料金を請求する、悪質な架空請求詐欺 メール、ワンクリック詐欺 メール、フィッシング詐欺 メールといったものが増加し、社会問題になっている。
アドレスの収集と有効性確認
送信するアドレス については、ウェブページ や電子掲示板 などに掲出されているアドレスを収集ロボット で大量収集したものが用いられることが多い。あるいは、懸賞 応募などでユーザー が自ら登録したものや、何らかの契約業務に関連して収集された個人情報 の外部流出 によるケース、無線 の識別信号 を取り入れた物やニフティ のIDのように単純な英数字且つ書式に規則性のあるアドレスに、使用ユーザーの有無に関係なく作成して無差別に送付するものもある。
このメールアドレスリストには主に2種類あり、「無差別に収集され、現在は既に無効となっているものも多く含まれているリスト」と「有効であり現在使われていると確認されたメールアドレスのリスト」がある。後者のリストの方が人の目にスパムを触れさせられる可能性が高く、スパマー、あるいは送信者はリスト中の有効なアドレスを選び出すことに腐心している。
リストの中から有効なアドレスを選び出す方法としては、主に下記の3つがある。
送信拒否方法や苦情の送付先が書かれている。
「配信停止はこちら」などの文句とともに返信用のメールアドレスが記載されている場合が多い。ここに連絡をすると、「現在有効なメールアドレスであり、このアドレスの持ち主はスパムメールをきちんと開いて読んでいる」と判断される。この手の連絡先は、そういう「返信」を期待して記載されている場合が大半であり、連絡したとしてもスパムメールの配信が止まる保証は全く無いどころか、メールアドレスが分かったことで、逆にスパムメールを大量に送り付けて来ることが殆どである。
サイトへの広告掲載や質問を装って返答させ、それをリスト化する業者も存在する。
スパム内のヘッダや本文に、スパムメール毎の固有IDを含ませたウェブサイトへのURLやメールアドレスを設定する。
HTML形式のメール となっており、特定のURLの画像 を参照するように記述されている。
URLに固有の識別子が割り当てられている場合は、どのメールアドレスに送信したものかが判別される(このような画像ないしHTMLコードはWebビーコン 、Webバグ などと呼ばれる)。
前二者に対しては連絡しない・URLをクリックしないという自衛手段で防ぐことができる。ウェブビーコンでは、メール本文の画像を開いた時点で情報が判別される危険があるが、「HTML形式のメールは開かず即刻削除する」といった強硬な対策を取ると、スパムではない通常の電子メールも削除してしまうリスクがある。そのため、メーラー の中には「イメージブロック 」と呼ばれる、画像の表示を禁止する機能が実装されているものもある。
スパマーとゾンビPC
スパムメールを送信している者(spammer、スパマー)は“ゾンビ ”と呼ばれる不正侵入 されたシステムで構成された巨大な軍隊 のようなものを統制している。スパマーのコミュニティは異常なほど高度に組織化されており、フィルター を通り抜ける方法を開発する者、マシンを乗っ取りゾンビにしてしまう者、そのマシンの利用権を切り売りする者もいる。ゾンビシステムの数は数千台にのぼると見られている[5] 。景山忠史は、著書の中で全迷惑メールの40%以上はゾンビPC から送信されているのではないかとしている[6] 。
法律による取り組み
スパムメールの例。日本ではまだ規制が十分でなくスパムメールは根絶されていない。
日本 においては、特定電子メールの送信の適正化等に関する法律 ・特定商取引に関する法律 等によりスパムの送信方法に対する規制が行われている[注 2] 。規制内容は主に次の通りである。
原則として、広告・宣伝メールを送信することに対して同意した受信者以外に対しては、特定電子メールを送信してはならない。(オプトイン )
送信者が、送信拒否の通知をした者に対して、特定電子メールの送信をすることの禁止(オプトアウト )。 (ただし上述の通り、送信拒否の通知はメールアドレスの有効性を知らしめるもので、かえって逆効果である。)
商品やサービスの販売を目的とした広告 である場合は、広義の通信販売 とみなし、取り扱い業者の所在などの連絡先を明示しなければならない。(表示義務)
しかしながら、スパム送信そのものに対する規制は不十分で、問題も多い。2008年2月には、「特定電子メールの送信の適正化等に関する法律」の改正案をまとめ、日本国外から発信されたスパムについても取り締まりの対象とするほか、罰金の最高額を改正前の100万円から3000万円に引き上げるなど、規制を強化している[7] 。
違法特定電子メールの申告窓口としては、次の二つの団体が指定されている(規定された法律が異なるためで、どちらでも申告を受け付けている)。
技術的な取り組み
ブラックリスト
現在のメールシステムは配達経路が記録されるため、発信されたサーバ を特定することができる。通常、加入しているインターネット・サービス・プロバイダ (ISP) のサーバから直接送信すれば、すぐにスパム行為が判明して強制退会などの措置をとられるし、自前のサーバから送信すれば、すぐに発信者が突き止められてしまう。そのため、スパマーは無関係な外部のサーバを利用して送信することとなる。そのようなスパムを送信しているサーバは、第三者中継 を許している場合が多い。そのため、第三者中継を許すサーバからの受信を拒否することがスパム防止に効果的な場合がある。
こうした、不当なメールの中継を許すサーバのIPアドレスを列記したブラックリスト がある。プロバイダなどはこのブラックリストの提供者(例・DSBL 、スパムコップ (英語版:SpamCop )、CBL (英語版:Composite Blocking List ))と契約を結んで最新版のリストの供給を受け、スパム遮断に役立てる。これらのブラックリストはリアルタイムに更新されることからRBL (Realtime Blackhole List)とも呼ぶ。
しかし一部では、このブラックリストに間違って登録されることで、メールサーバが一時的に他のメールサーバから無視される被害を受ける場合もある。最近では、英国のspamhaus (英語版:The Spamhaus Project )のように、クラスCのIPアドレス 単位でブラックリストに登録するようなケースがおきており、何もしていないのにブラックリストに登録されるようなケースも発生しており、RBLの管理が大きな問題となっている。
逆に、メールサーバについては外部の第三者から不正に使用されないよう、POP before SMTP やSMTP-AUTH を設定したりして、部外者からの送信を防止したりする方策が採られることが多くなった。ただし、POP before SMTPはIPアドレス認証でありセキュリティ上の問題があることも指摘されている。その結果、メールの投稿(ユーザがメールを送信すること)はメールサブミッションポート(Submission Port)である587番ポートを使って"SMTP-AUTH"で送信するOP25B(Outbound Port 25 Blocking )が推奨されている。
そうでなければ、実際にスパムの踏み台にされることはなくても、ブラックリストに収録されてしまって送信機能を失うことになりかねないからである。特にこれは企業やプロバイダ にとっては、致命的な問題に繋がるため、メールサーバの設定・管理上で無視できない課題となっている。
グレイリスト
メールを受け取る際に、初見のサーバに対して一時的エラーを示すステータスコードを返すようにする。一般にスパムメール業者は大量のメールを短い時間で送信するために、エラーが起きるとリトライしないことが多いためである。もちろん、このままではリトライしないサーバから送信された一般のメールも受け取れないため、通常の応答をする対象となるサーバを記述したホワイトリストや、IPアドレス からホスト名 を逆引き して確認する方法などと併用する。
フィルタリングソフトウェア
スパムメールが持つ特有の単語 などを文章 から認識して、あるメールがスパムかそうでないかを自動的に判断、スパムであれば即座に分離するというスパムフィルタ 機能を持ったソフトウェア が実用化されている。こうした判断を支えている手法の一つがベイズ推定 という統計手法であり、これを利用した判別ソフトウェアはベイジアンフィルタ と呼ばれる。また、最近では、その分離性の良さとパラメータ調整の容易さから、ロジスティック回帰 も用いられるようになってきている。スパムメールを収集して、そのフィンガープリントをデータベース 化する手法も用いられている。収集の方法としてはISP にハニーポット (おとり )を準備して収集する方式がある。また、コミュニティ からのフィードバック によるコラボレーション型スパムフィルタ という手法もオープンソース や商用 フィルターにも使われている。スパムメールは短期間に新種が現れるので、これらのデータベース にも同様のリアルタイム性が要求される。
受信サーバに実装 したもの、電子メールクライアント に実装したものなどいくつかの段階で使用可能で、また精度も非常に高い。
また、携帯電話メール では、改正前の特定電子メール法 で題名に必須だった「未承諾広告※」などのメール受信を拒否したり、ドメイン名 (送信元のリモートホスト )を指定しての受信などのフィルタリング機能を網内に持つようになった。
2005年以降は、フィルタリングソフトウェア による除去を不当に免れるため、宣伝メッセージを画像 化して送信する手法が増えた。アメリカのマカフィー 社の調査によると、2006年初頭にはスパム全体の30%に過ぎなかったのが、同年末には65パーセントに達するようになったという調査結果が出ている[8] 。
プロバイダによるフィルタリングの対策
インターネットサービスプロバイダ (ISP)によっては、受信サーバ (POP3 )が一定のアルゴリズム に従ってスパムであるかを判定[注 3] し、スパム(または可能性が高いメール)と判定されれば、件名(サブジェクト )に「特定の語句」を付加するサービスを有料ないし無料で提供するサービスもある。
メールソフト によっては件名に「特定の語句」を含むメールを指定したフォルダ に移動させ、またはサーバ から即座に削除させるなどの処理も可能であるため、大量のスパムを受信する手間が抑制できる。
プロバイダによるフィルタリングの例
Biglobe
件名に「[spam] 」を付加する(例:「[spam]これで大儲け!」)。
OCN
件名に「[meiwaku] 」を付加する(例:「[meiwaku]★資料請求はこちら」)。
宛先不明のメールのリレーを受け付けないサーバ
スパム業者が有意なメールアドレスのリストを常に欲しているのは前記の通りだが、それとは別に辞書攻撃 と呼ばれる手法を使って、一般的な英単語や想定される全てのアルファベットや数字の組み合わせを片っ端から("@"の前に付けて)特定ドメインのメールサーバ宛に送信することがある。これは、メールアドレスハーベスティング (あるいは単にハーベスティング)と呼ばれる行為で、一般的に、SMTP のRCPTコマンドを大量に発し、それに対する応答が、リレー許可か、宛先不明かによって、メールアドレスの存在を確認している。
一部のメールサーバに於いては、宛先不在のメールであるにもかかわらず、RCPTコマンドでは「リレー許可」を返答し、メールを一旦受信した上で、宛先不明の旨を返信する方式がとられているが、このようなサーバは、メールアドレスハーベスティングの結果、ほぼ無制限のスパムメールを受け取ることになってしまう。また、スパムメールの差出人が詐称されている場合(ほとんどのスパムメールがそうである)、詐称された差出人に対して、宛先不明の旨の通知メールが大量に送信され、第三者に被害を拡大することにも繋がる。このようなことを防ぐには、宛先不明のメールはリレーを許可しない方法が好ましい。
社会的な取り組み
アメリカ合衆国
アメリカ合衆国 では、電子メールだけでなく郵便 を利用したダイレクトメール や電話勧誘販売 に対するオプトアウト 登録システム が国家 (連邦政府 )によって始められており、電子メールでは、メールサーバ に多大な負荷を掛けるようなスパム送信者への罰則強化が進められている。スパム送信元国は、ブラジル ・インド ・大韓民国 の順に多い[9] 。2012年7月-9月、情報セキュリティ会社 のソフォス 社の調査によれば、スパム送信元国はインド 16.1%、イタリア 9.4%、米国6.5%である。一方、七大陸 で見るとアジア 48.7%、ヨーロッパ 28.2%、南米 10.2%であった[10] 。
日本
2002年には、NTTドコモ の携帯電話宛に約405万通の宛先不明メールを送信した業者に対して、NTTドコモの特定接続サービスの規約に反して迷惑メールを送ったとして損害賠償請求訴訟が起こされ、NTTドコモが勝訴した[11] 。
警視庁は、20億通のスパムメールを発信していた出会い系サイト運営者を、総務省からの措置命令を無視したとして2014年9月に措置命令違反で逮捕している[12] [13] [14] 。
2002年4月には特定電子メールの送信の適正化等に関する法律 (特定メール法)が制定、また特定商取引に関する法律 (特定商取引法)が改正され、スパムメールに対する法的な規制が強化された。
2006年3月に日本国内のISP や携帯電話事業者 等が設立したJEAG (Japan Email Anti-abuse Group) が迷惑メール対策に対する3つのRecommendationを発表している。その中では、ISPの動的IPアドレス から送信されるメールをブロックするOutbound Port 25 Blocking やSubmission Port +SMTP AUTH (英語版 ) 、送信ドメイン認証 の採用などが推奨されている。
その他
国際機関、OECDでは2006年にスパム対策のツールキットを作成している。またスパムへの技術対策の一つとして送信認証技術を取り上げている[15] 。アメリカでは、2004年 1月に連邦法 としてCAN-SPAM法 (CAN-SPAM Act of 2003 )が成立している。基本的な考えはオプト・アウト だが携帯電話 に向けたメールについてはオプト・イン を採用していることや、悪質な迷惑メールに関する規制がなされている。2012年1月には、メール送信事業者等15社からなる迷惑メール対策やフィッシング 対策などを目的とする「DMARC.org」が設立、SPF , DKIM 等の技術を活用し、送信者認証を行うための仕組みを策定している[16] 。欧州では、2002年 7月の電子通信個人データ保護指令 の13条が電子メールのダイレクトマーケティング 目的での利用については、顧客の同意がある場合にのみ認められるオプト・インを採用している。この指令を受けてEUの各構成国でもオプト・イン規制を整備してきている。
誤検知の問題
スパムメール防止技術で特に大きな問題となるものとして擬陽性 がある。ここでいう擬陽性とは、スパムメールでないメールがスパムメールと判定されたり、善良な企業のIPアドレス がスパムメール送信者のアドレスとして登録されたり認識されることを意味する。擬陽性が発生すると重要なメールが紛失することになるので大きな損失に繋がる可能性がある。フィルタリング技術は、スパムの検出率の向上よりも擬陽性を限りなく小さくするようにされているのが一般的である。
送信ドメイン認証技術
なりすましの問題へ対応として、現在プロトコルを修正することなく認証機能を追加する技術が提案されている。その一つに送信ドメイン認証 技術がある。送信ドメイン認証技術は、既存のメール配送の仕組みを変えることなく受信メールサーバーにおいて、メールの送信者情報が偽装されているかどうかをドメイン単位で確認することを可能とする技術である[17] 。
なりすましメール対策、迷惑メールフィルターの設定例
標準的な携帯電話 (例)
au - 「メール」キー→「Eメール設定」→「メールフィルター」[18] 。
ドコモ - 「iMenu 」→「お客様サポート」→「各種設定(確認・変更・利用)」→「メール設定」
ソフトバンク - Yahoo!ケータイ トップページ「設定・申込」→「メール設定」→「メール設定(アドレス・迷惑メールなど)」→「迷惑メールブロック設定」
スマートフォン (例)
au - 「メール」アイコン→「設定」→「Eメール設定」→「その他の設定」→「迷惑メールフィルター」
ドコモ - 「SPモード メールアプリ」→「メール設定」→「その他」→「メール全般の設定」
ソフトバンク - 「My Softbank」にアクセス、ログイン後に「メール設定(SMS/MMS)」→迷惑メールブロックの設定の「変更する」→「個別設定はこちら」を選択。
固定ISP(例)
IIJ4U では「なりすましメール対策フィルタ」が提供されている。フィルタ画面で設定することが可能[19] 。
ウェブメール
ロボット対策
メールアドレス収集ロボットの対策として、テキストリテラルで書かない[注 4] 手法が取られることがある。
スパムと採算性
2006年 2月にシマンテック が行ったワークショップ での発表によると、スパムの返信率が0.001%(10万通に1通)を超えると採算が取れるという[20] 。
2008年2月には、日本で、のべ22億通のスパムを送信した容疑者が逮捕 されており[21] 、この容疑者は約2000万円の利益を得ていたとされる。
低コスト で大量にメッセージを送ることができるため、採算が取れるうちはスパムを根絶することは困難であるといわれている。
脚注
注釈
^ ピンクシート(Pink Sheets )市場などのPenny stock(日本語で言えばボロ株 に相当)に対する風説の流布 である。これは情報開示があまり為されていない、流通性・価格の低い企業の株に対し業績が上がるという情報を流し、売り抜けるというものである。Stockや XXXX.PK(ピンクシート銘柄 の証券コード )やXXXX.OB(店頭市場 の証券コード)などのキーワードが入っているものがそれである。なお、日本では、数百万円以上の金額を年利数%から1%以下の低金利 で融資する旨の宣伝内容を送りつける闇金融 (貸します詐欺 )の勧誘メールもある。
^ 「特定電子メール」とは、個人に対し、営利を目的とする団体及び個人が、自己又は他人の営業につき、広告又は宣伝を行うための手段として送信する電子メール。
^ あくまで機械的に判定するものであるため、悪意のないメールがスパム扱いされる、誤検知(後述)の問題もある。
^ アットマークを画像に置き換えるなど。
出典
関連項目
外部リンク