メールサーバの設定だけでは防げないスパムメール電子メールに潜むリスク(1)

» 2001年05月29日 12時00分 公開
[宮本 哲也,日本ボルチモアテクノロジーズ マーケティングマネージャ]

 望みもしないのに無差別に送りつけられる宣伝、勧誘メール、チェーンメール、いやがらせメールなどをスパムメールという。電子メールの普及とともに被害が拡大している。なお、スパムメールの語源は、モンティパイソンという英国のコメディ番組中のコントからきているそうである。

 スパムメールの歴史は古く、日本においても、ISPが急激に増加した1997年あたりから、頻繁に取り上げられている。ではなぜいままたスパムなのか?

 スパムメールはもともと、「不要」で「迷惑」なだけの存在だった。しかし、最近のケースを見ると、「迷惑」メールの範囲を越えて、企業活動に何らかの影響を及ぼすものも多く、企業のIT担当者を悩ませている。

 スパムメールを被害の度合い別に分けると、次の3つの段階が考えられる。

被害1:業務の生産性の低下

 第一段階としてはジャンクメール。業務に関係のないメールはすべて、業務上はジャンクメールといえる。最近米国のある調査会社の調べで、会社員の1日のメール処理時間は約1時間という結果が出ているが、同時にその3割以上が業務に関係のないメールであり、生産性低下の原因となっているという。

 1時間のうちの3割というと、20分程度なので、いまのところ大きな問題とはいえないだろう。しかし、電子メールアカウント数、1人当たりの使用時間ともに、今後数年間は伸び続ける傾向にある。この傾向に従って、1日当たりのメール処理時間が増加していくとするとどうだろう?1時間が2時間になると、不要なメールも倍になって40分。けっこうな時間である。処理時間3時間、4時間とさらに増えたらどうだろう? こうなると、ジャンクメールが何割かという問題ではない。膨大に送られてくるメールの中から、本当に必要なメール、急いで返事をする必要があるメールを探し出すことのほうが重要になるだろう。

 少々考えすぎだろうか?

 生産性という観点から考えると、宣伝や勧誘などのジャンクメール対策以上に、今後は、不要な業務メールの問題が大きくなってくるだろうというのが私の考えである。

被害2:システムと管理者への負荷

 第二段階は、大量に送りつけられてくるメールで、これはメール配信の遅延やサーバのダウンといった、システムに支障をきたすもの。現時点では最も深刻で、かつ急増しているケースである。大量のスパムメールは、ある日突然送られてくる。それが始まると、メールサーバの管理者は、メールサーバがあふれないように、定期的にこうしたメールをサーバから削除しなければならないのだ。

 新宿にある、とあるプロモーション会社では、ある日突然メールが外部へ送信できないという事態に見舞われた。さっそく契約しているISPに問い合わせたところ、この会社のメールサーバが、ORBS(スパムメールを送信するサーバをリストにして公開しているサイト。多くのISPが、このサイトを参照して、そうしたサイトからのメールを拒否している)に自社のメールサーバのアカウントが掲載されていることが判明。さっそくメールサーバのログを調べたところ、1日数千通のスパムメールが、この会社のメールサーバを通じて第三者へ転送されていることが分かった。その後、管理者のAさんは、メールサーバソフトのメーカーの指導に従い、不正中継禁止の設定を行い、ブラックリストからの削除も行うことができた。しかし、同社のスパム被害にはまだ後日談がある。

 この事件から半年後、今度は、出した覚えのないメールのあて先不明による返信が日に数千通押し寄せてくるようになったのだ。理由を推測すると、図1のようになる。スパマー(スパム送信者)は、送信元を「EXAMPLE社」からであるように装い、第三者中継を許可する第三者のメールサーバを経由してISPであるB社の「unknown」氏にメールを送信。

 ところがA社には「unknown」というメールアカウントが存在しないため、メールサーバは、送信元とみられる「EXAMPLE社」へメールを返送する。スパマーは、同様のメールを大量に、C社、D社にも送信。その結果、Aさんは毎日メールサーバから数千通のスパムメールの削除に追われることとなるのである。Aさんは、これはメールサーバの設定では回避できないと嘆いている。

ALT 図1 メールサーバの設定では回避できないスパムメールの例

[1] スパマーが送信元をEXAMPLE社と装って、存在しないアドレスに向け、メールを送信

[2] ISPのサーバはあて先が存在しないので、送信元になっているEXAMPLE社にメールを返信

[3]EXAMPLE社でも該当するあて先がないので、メール管理者の元へ

 こうしたケースの急増の背景には、特別な知識がなくても、送信元を偽って大量にメールを配信するためのソフトウェアがネット上に出回っていることもあろう。

 また、まれな話だと思うが、自分で自分にスパムを送ってしまうという例もある。これはある電機メーカーで実際にあった話。営業のEさんは、家で仕事をする際に、会社のメールアドレスに来るメールをプライベートなメールアドレスに転送する設定をして帰宅した。ところが、転送先アドレスを間違えてしまったため、メールは転送されず、あて先不明で、Eさんの会社のメールサーバに戻る。すると、Eさんあてのメールは転送される設定になっているため、また転送する。転送されたメールはまたあて先不明のため……と、次の朝、Eさんが出勤するまで延々と続いたという(図2)。

ALT 図2 自分で自分にスパムメールを送ってしまう例

[1]送信者がEXAMPLE社のE氏あてにメールを送信

[2]E氏のアドレスで受信したメールはプライベートアドレスへ転送される設定。転送元はE氏の社用アドレス

[3]転送先のプライベートアドレスが間違っているため、ISPではこのメールをあて先不明でEXAMPLE社のE氏社用アドレスあてに返信する

[4]EXAMPLE社に返信されてきたメールは、再びE氏のプライベートアドレスへ転送される

以後、[3]と[4]を繰り返す
※以下の場合は、スパムメールにならない

[2]-2プライベートアドレスへ転送時に、送信元に元の送信者のアドレスが使われている場合

[3]-2あて先不明でも、元の送信者に返送される

被害3:ビジネスやブランド・社会的評判への支障

 そして第三段階。これはスパムメールがネットワーク障害のみならず、ビジネスそのものに支障をきたすケースである。

 例えば、第二段階でご紹介した事例のような大量メールによる被害は、度を越えるとネットワークの混雑や遅延以上の問題となる。メール爆弾と呼ばれる攻撃は、ある特定のサーバを明らかに悪意をもって攻撃するものだ。この攻撃によって一定期間、サービスの停止を余儀なくされたISPも少なくない。

 次に、スパムメールの不正中継あるいは単なる設定ミスにより、気付かないうちに、意図せずして加害者となる場合。

 これは、昨年から今年にかけて、郵政省(郵政事業庁)関連機関、宇宙開発事業団、神戸大学、厚生省(厚生労働省)関連団体などが起こした例が報じられている。これらのケースで、各団体はメールサーバの停止を余儀なくされ、苦情対応に追われただけでなく、広く報道されたことにより、企業(団体)イメージの低下を招くこととなった。

 もう1つは、自社のマーケティング活動がスパムメール化してしまうケース。最近、安い、早い、確実に相手に届くといった理由から、電子メールを使ったマーケティング手法がもてはやされている。ただしこの手法は時として逆効果となり、知らず知らずのうちに企業イメージを低下させることになるため、注意が必要である。筆者はある商品をWebサイトで購入したときにメールマガジンに登録したことがあるが、現在は不要でもう読むこともない。登録解除が面倒なために放ってあるが、平均して週1度来るメールはすっかりスパム化してしまっている。そのため、筆者の中でその企業イメージが確実にダウンしてしまった。

 こうした理由による企業イメージの低下も無視できないが、もっとはっきりとした反感を買い、訴訟に至るケースもある。最近、米国のあるオンラインマーケティングの会社が、個人情報収集の方法がプライバシーの侵害にあたるとして提訴された。結果はこのマーケティング会社の勝訴であったが、不特定多数のメールアドレスを収集して、宣伝メールを送信するという基本的な部分に、すでに訴訟に至るリスクが存在するのだ。


 さて今回はスパムメールを、企業にとってのリスクという観点からご紹介したが、一口にスパムといっても、多様な要素含んでいることがお分かりいただけただろうか?

 被害者となる場合、加害者となる場合、自ら被害を招いてしまう場合、企業は多様なリスクに備える必要がある。これらを回避するためには、自社ネットワークに出入りする電子メールのコンテンツを企業のポリシーに従って管理することが不可欠である。

著者紹介

▼著者名 宮本 哲也(みやもと てつや)

1967年生まれ。多摩美術大学卒業。TV-CM制作会社を経てIT業界へ。2000年8月より、MIMEsweeperのマーケティング担当となり現在に至る。コンテンツセキュリティに関する啓蒙活動に注力している。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ