IIJ ネットワーク本部アプリケーションサービス部所属。メールサービスの運用業務に従事し、日々世界の悪と戦う一児の父親。社内 Power Automate エバンジェリスト(自称)。M3AAWG member / openSUSE Users / WIDE Project メンバー。趣味は大喜利。はがき職人。

ここ最近、複数のお客様から「先月、迷惑メールが増えたんですが、なぜですか?」、という問い合わせをよく受けます。

結論を先に書くと、私はスパマーではないので、迷惑メールが増えた理由は分からないのですが、確かに IIJ で管理している計測システム宛の流量が、ここ最近激増しています。

今回は、ここ数か月の間に観測している、迷惑メール・ウイルスの総量とトレンドを報告いたします。

迷惑メールが最大 80倍に激増

次のグラフは、計測システム環境で受信した、日ごとの迷惑メールの総数を集計したものです。^(※1)

まず最初に 4月と比べて 5月上旬に大きな流量[1]を観測しました。(我々はこれを「撃ち込み」と呼んでいます)
その後の規模が大きすぎて霞んでいますが、4月の平均を 1倍としたとき、この時点で、すでに 10倍規模の撃ち込みです。

大型連休が明けて一瞬止んだかなと思いきや、5月中旬頃から 2回目の 40倍規模の撃ち込み[2]、そうかと思ったら、今度は 5月下旬〜6月上旬に 3回目の約 60倍の規模の撃ち込みを継続して観測しました。[3]

さらに直近の 6月下旬には、それを上回るボリュームで撃ち込まれており、最大瞬間風速にして約 80倍規模を記録しました。[4]

以上のことから、2020年 第1四半期で迷惑メールの数が激増していることが分かります。^(※2)(※3)

この内訳を見ていくと、ほとんどが dating spam、いわゆる「出会えない系」です。本文は日本語化されており、キーワードフィルタを回避する目的か「&#12507 ; &#12483 ; &#12488 ; &#12394 ; &#22899 ; &#12398 ; &#23376 ;」のような文字参照になっています。しかし、中身はだいたい毎回同じで、手法としては、手当り次第に送っている「バラマキ型」でした。(ただし、本文の女性の写真は毎回変わっている)

脅威という側面では、それほどリスクの高いメールには見えませんが^(※4)、企業活動において業務の妨げになったり、システムリソースを逼迫してしまう要因になりえるでしょう。

ウイルスは減少傾向だが 1日間に突出した数を検知

次に、ウイルスの総数を見てみます。
次のグラフは、先ほど提示した迷惑メールのグラフと Y 軸のスケールが異なることに注意してください。

2020 の 1Q では、5月以降ウイルスの活動は少なめで、ご覧の通り 1日だけ突出して撃ち込まれた日がありました。この日に着信したメールの詳細を調査すると、”Look at this photo!” や、”Photo just for you” のような件名で、ZIP ファイルが添付されています。

その ZIP のファイル名は、画像ファイルを思わせるような IMG135123.jpg.js.zip のようになっていました。
.jpg.zip のような二重拡張子は、Windows のデフォルトで拡張子を表示しない設定を悪用した、昔から良く見るものですが、今回は三重にもなっていて、良く分からないことになっています。

ZIP を展開すると、マルウエアをダウンロードする JavaScript が入っています。このファイル自体に悪性はありませんが、実行するとマルウエアをダウンロードしてくる、ダウンローダーです。実行しなければ害はありませんので、仮にこのようなメールを受け取ったとしても、開かずそのまま削除してください。

2020/1Q は迷惑メールが激増中、引き続き要警戒

 最後に、迷惑メールの数と、ウイルスの数を積み上げると、こうなります。

グラフを生成した当初、手違いがあったのかと目を疑い、三度見しました。圧倒的な迷惑メールの数です。
この傾向が来月以降も続くかどうかは、想像の域を出ませんが、引き続き警戒が必要です。

自社で迷惑メール対策されている場合は、ネットワーク設備・サーバの負荷状況に目を配っておき、有事の際のコンティンジェンシープラン(Contingency Plan)を計画しておくと良いでしょう。コスト見合いによっては、迷惑メール対策を SaaS に預けることを検討し、予算化に着手しておくのも手です。

最後に

IIJ では、長年培ってきた運用経験から、このような規模のトラフィックも見込んで設備設計・ソフトウエア開発をしています。撃ち込みのあった時間帯でも、IIJ のネットワーク、ハードウエア、ソフトウエア、みな涼しい顔をして捌いています。

今回の情報を取得した測定システムは、IIJ の迷惑メールフィルタサービス「IIJセキュアMXサービス」と同じエンジンを搭載して測定しています。現在のところ、このトレンドに関連した「すり抜け」(迷惑メール未検知)報告は増加していませんので、サービスでは正しく迷惑メール判定していると考えています。

なお、IIJセキュアMXサービスをご利用のお客様は、専用のポータル画面から統計情報をご覧いただけます。
必要に応じて、トレンドの調査、集計にお役立てください。

明日も、明後日も、お客様をお守りするため、悪と戦って参ります。

注釈

1. Y 軸の数値は M(メガ)級のオーダーです。この手の情報は実際の数値をお見せすることができないのですが、重要なのは数値ではなく、どれくらい増減したかの規模感を読み取って感じていただけると幸いです。[↑]
2. ちなみに迷惑メールの送信元となっている国を調査することがありますが、「ふ〜ん」程度のもので、一般的に迷惑メール対策の観点からはあまり意味がありません。メールでやり取りする取引先が限定されていて、その国から発信されるメールは自社のビジネスと無関係だ、といい切れるのなら効果はあるかもしれませんが、そのような企業は極めて稀です。それに、そうしたケースは送信ドメイン認証でガッチリ固めてホワイトリストしたほうが、遥かに効果があります。なので、一生懸命ソース IP を調査している時間があったら、まずは差出人・受信者双方で送信ドメイン認証を固めるのが定石です。よろしければ、以前に公開した「どれくらい自社ドメインがなりすまされているか、ご存知ですか?」もご覧ください。[↑]
3. この測定環境は、特定ドメイン宛に送られるメールをすべて吸い込むように設定しています。IIJ セキュア MX サービスでは、存在しないアカウント宛のメールは受信しませんので、環境によっては異なる傾向が見られるかもしれません。[↑]
4. リスクが低いからと言って、決してリンクをクリックしてはいけません。アクセスをトラックされていた場合、有効なメールアドレスとして認識され、カモリストに追加されてしまいます。[↑]

• セキュリティ
• メール
• 技術情報

IIJ ネットワーク本部アプリケーションサービス部所属。メールサービスの運用業務に従事し、日々世界の悪と戦う一児の父親。社内 Power Automate エバンジェリスト(自称)。M3AAWG member / openSUSE Users / WIDE Project メンバー。趣味は大喜利。はがき職人。