NewsHeadline

ソースポッド、「スパムメール実情レポート」2008年7月版を公開(2008.8.19)

ソースポッドは、SourcePod Technical Intelligence Lab.(以下、STIL)で実施しているスパム対策製品比較検証において、2008年7月(2008年7月1日~7月31日)の結果及び受信したスパムメールの傾向等をまとめた「スパムメール実情レポート」2008年7月版を公開した。弊社検証環境に限定した内容となりますが、国内におけるスパム対策製品とスパムメールの現状把握にご活用ください。

1.検証環境について

1.1 検証環境

日々送られてくる正常メールとスパムメールを全ての参加スパム対策製品に配送される環境を準備しました。詳細は下記をご覧ください。
http://www.source-pod.com/stil/antispam/

1.2 スパムメールの定義

正常メールはソースポッドで通常やり取りしているメールを流しているため、ソースポッドがビジネス上必要でなく、求めていないメールは、基本的に全てスパムメールとする。

1.3 前提条件

・ 比較対象メールは受信メールのみとし、送信メールは対象外とする。
・ 受信メールは、ソースポッドで実際にやり取りしている正常メールを含む。
・ エラーメールに関しては、ソースポッドが送信したメールより発生する正常なエラーメールだけでなく、スパマーが送信したメールから送られてくるエラーメールも存在するため、検証対象外とする。
・ 判定は、正常とスパムの2種とする。「スパムメールの可能性がある」等明確ではない判定方法は使用しないものとする。
※ソースポッドが登録したメールマガジンは別途確認。

2.検証結果

2.1 検証参加製品

・ Panda GateDefender Performa
・ SPAM WATCHER Appliance
・ Symantec Mail Security 8300シリーズ
・ マトリックススキャンAPEX

2.2 メール及びスパムメールの流量

受信メール通数は、正規メールとスパムメールをあわせて1日に3,000通程を想定している。今回の検証対象期間である2008年7月1日~7月31日の内訳は下記となる。

メール総受信数:115,359通
[内訳]
正常メール    : 5,375通
スパムメール  :109,984通

図1:受信メール内訳

2.3 主な比較検証概要データ

下記をご確認ください(会員限定)。
http://www.source-pod.com/stil/antispam/comparison.html

3.スパムメールの実情

3.1 言語

検証環境に送られてくるスパムメールを言語別に分類すると、英語が全体の約96%を占め、残り約4%がロシア語、日本語であった。今回は、不明な言語を除くと、それ以外の言語は確認できなかった。

図2:言語別スパムメールの割合

3.2 メール形式

先月までは、ほとんどのスパムメールがmultipart形式であったが、今月に入ってからはmultipart形式約7割、text形式のメールが約3割というように、text形式のメールが増加傾向にあった。ただし、スパムの内容は、依然と同様にURLをクリックさせる形式のものが大半であった。

この傾向は、特に英語のスパムメールで顕著に見られた。中身に関しては「バイアグラ」や「高級時計」、「ブランドバッグ」等の通販サイトのものがほとんどで、最近の特徴としては、件名にID番号を付けてくるスパムが多くなってきている。

(例)
ID:07525 Make sure all your pharmaceutical needs are taken care of
ID:37372 Surprise her with the nicest bag in town

IDを付加することで、自分が通販サイトのアカウント保持者であると思わせて、本文を表示させようとしていることがうかがえる。それ以外には、multipart形式でありながら、textpartには何もかかれておらず、htmlpartのみにメール本文が書かれているものも多い。Outlook Express等htmlpartを優先して表示するメーラーをターゲットにしているのだろう。

図3:textpart部分

図4:htmlpart部分

3.3 画像

6月から減少傾向にあった画像スパムだが、7月に入ってきてからはさらにその数は激減し、7月に受信した全ての画像スパムの合計は数通程度であった。

3.4 フィッシングメール

6月に急増したフィッシングメールだが、7月に入ってきてその数は、総数18通と激減した。先月は、Sun Trust Banks と Abbey Online Banking を偽ったメールであったが、今月は全てBank of Americaを偽ったメール内容だった。

4.判定漏れしたスパムメールの傾向

7月の後半から各製品の検知率が揃って下がり始めた。特に、7月の第4週になってからは、4製品中3製品の平均検知率が95%を切るという事態となった。検知漏れしたメールの主な特徴としては、2、3行のメール本文にURLが貼り付けられているシンプルなメールだ。製品によっては、検知漏れしたメールのうち、5割~8割がtext形式のメールであった。スパムメールやフィッシングメールのほとんどは、HTMLメールを利用していることが多いことから、各製品HTMLメールに対しての対策は万全でもtextメールでシンプルなパムメールは、逆に検知しにくい傾向があるようだ。

図4:テキスト形式スパムメールのサンプル(1)

図5:テキスト形式スパムメールのサンプル(2)

尚、ビジネスでのメールのやり取りは、ほとんどtextメールであるため、text形式のスパムメールが増加した場合、正常メールとの区別が容易ではなくなる可能性も考えられる。今後は、各製品text形式のスパムメールの検知率を如何に上げるかが求められることになるだろう。

5.誤判定したメールの傾向

5.1 正常メール

今回は、ある製品のみ下記誤判定が発生した。

・ 配信停止の依頼メール
弊社メールマガジンの配信を停止するには、件名を「停止」としてメールを送信する必要があるが、この依頼メールは、件名のみが書かれており、本文には何も書かれていないため、誤って誤判定したと推測される。

・ ベリサインからのメール
弊社ホームページのSSL証明書を更新する際、ベリサインから送られてきたメールを何故かスパムと誤判定した。おそらく、メール本文にCERTIFICATEデータが込まれていたため、その文字の羅列を誤ってスパム判定した可能性がある。

5.2 メールマガジン

メールマガジンは、通常の正常メールと比較して誤判定しやすい傾向にあるため、正常メールとは別に集計を行った。その中で最も誤判定が多かったのが、先月と同様に『Biglobe カプライト』の「当たる!楽しい懸賞生活(件名)」だった。前回と同様に本文中に誤判定したすい単語が含まれていることが起因しているのだろう。また、広告主のサイトへ誘導するURLが、IPアドレスで直接記述されており、そのURL先のTopページがフリーのWebサービスを利用していた。このあたりも誤判定の要因として挙げられる。

それ以外には、『百式』というメールマガジンを数通誤判定してしまった製品がいくつかあったが、同じメールマガジンでも誤判定した日にちが製品毎に異なるため、各製品の独自のフィルタリング部分が誤判定を起こしたようだ。

■【STIL】スパム対策製品検証について
  http://www.source-pod.com/stil/antispam/

このページのトップへ

-PR-

  • Email Security Expo & Conference 2008 連動企画特集
  • 誤送信防止特集
  • Webメール製品検証レポート概要
  • スパム対策製品検証レポート概要
  • メールコンプライアンス特集