ソースポッド、「スパムメール実情レポート」2008年10月版を公開(2008.11.14)
本レポートは、SourcePod Technical Intelligence Lab.(以下、STIL)で実施しているスパム対策製品比較検証において、2008年10月(2008年10月1日~10月31日)の結果及び受信したスパムメールの傾向等をまとめたものです。弊社検証環境に限定した内容となりますが、国内におけるスパム対策製品とスパムメールの現状把握にご活用ください。
1.検証環境について
1.1 検証環境日々送られてくる正常メールとスパムメールを全ての参加スパム対策製品に配送される環境を準備しました。詳細は下記をご覧ください。
http://www.source-pod.com/stil/antispam/
1.2 スパムメールの定義
正常メールはソースポッドで通常やり取りしているメールを流しているため、ソースポッドがビジネス上必要でなく、求めていないメールは、基本的に全てスパムメールとする。
1.3 前提条件
・ 比較対象メールは受信メールのみとし、送信メールは対象外とする。
・ 受信メールは、ソースポッドで実際にやり取りしている正常メールを含む。
・ エラーメールに関しては、ソースポッドが送信したメールより発生する正常なエラーメールだけでなく、スパマーが送信したメールから送られてくるエラーメールも存在するため、検証対象外とする。
・ 判定は、正常とスパムの2種とする。「スパムメールの可能性がある」等明確ではない判定方法は使用しないものとする。
※ソースポッドが登録したメールマガジンは別途確認。
2.検証結果
2.1 検証参加製品・ IronMail
・ Panda GateDefender Performa
・ SPAM WATCHER Appliance
・ Symantec Mail Security 8300シリーズ
・ マトリックススキャンAPEX
2.2 メール及びスパムメールの流量
受信メール通数は、正規メールとスパムメールをあわせて1日に5,000通程を想定している。今回の検証対象期間である2008年10月1日~10月31日の内訳は、下記となる。
メール総受信数:173,970通
[内訳]
正常メール : 5,755通
スパムメール :168,215通
2.3 主な比較検証概要データ
下記をご確認ください(会員限定)。
http://www.source-pod.com/stil/antispam/comparison.html
3.スパムメールの実情
3.1 言語検証環境に送られてくるスパムメールを言語別に分類すると、英語が約87.21%、ロシア語が約9.41%、日本語約3.26%、残りが中国語、韓国語、ヨーロッパ言語等だった。前回と比較すると、ロシア語が増加していた。
3.2 メール形式
multipart形式とtext形式の比率は、英語が半々という比率であったのに対し、日本語は9割程度がtext形式であった。ロシア語に関してはmultipart形式のメールが大幅に増え、約7割を占めていた。
スパムの内容に関しては、英語の場合はURLをクリックさせバイアグラや高級ブランド品等の通販サイトへ誘導するものがほとんどであるのに対し、ロシア語ではメールアドレスや電話番号で連絡を取らせる手法が多かった。日本語はアダルトサイトへの誘導、ローン等の金融系の内容がほとんどであった。また、最近では、通販サイトにCNドメインのURLを多く見かけるようになった。
また、迷惑メールフォルダに振り分けられることを前提としたユニークなスパムメールが確認された。文脈を見る限り、迷惑メールフォルダに振り分けられたスパムメールを後のメールで読ませようとしている。
2ヶ月前に流行ったCNNを装ったスパムメールに関しては、9月時点で69通、10月時点でその数が0通となり完全に収束した。にもかかわらずスパムメール総数が減る様子はまったくなく、先月よりも25,000通以上も増加した。主な原因としては、前回と同様まったく同じメールを同じ宛先に送っていることも一因だが、それ以上にスパムメールそのものが増えている。今後どこまで増え続けるか気になるところだ。
3.3 画像
弊社環境で確認できた画像スパムメールは、jpgやgifファイルを添付したものとIMGタグを使ったHTMLメールの2種類だが、今月は両方わせて5通以下と激減した。新しいタイプの画像スパムが送られてくると予想していたが、昨今のスパム対策ソフトの性能向上により、現在画像スパムはスパムメールの主流ではなくなってきているようだ。現に全てのスパム対策製品で、これらのメールが検知されていた。
3.4 フィッシングメール
10月のフィッシングメールは、約200通と先月と比べると約半分に減少した。内容は、オンラインバンクを装ったものがほとんどであったが、詐称するオンラインバンクの種類が以前にも増して多くなってきている。オンラインバンクを装ったフィッシングメールは、取得した情報が利益に直結する為か、様々なパターンのものが確認された。通数の増減はあるが、これらのスパムはしばらく無くなる気配はなさそうだ。
4.判定漏れしたスパムメールの傾向
先月と同様に、どの製品も比較的安定した検知率であった。しかし、件名、本文、宛先がない(undisclosed-recipients)メールが最近増えはじめ、これらのメールを多く検知できなかった製品が3製品あった。このメールはスパムメールを送るに前に、当該アドレスの存在を確認するためのもので、特徴として送信者が有名プロバイダーやフリーのメールアドレスを詐称しており、送信元は全て中国からであった。
5.誤判定したメールの傾向
5.1 正常メール今回は、以下のメールを誤判定した。
・ 配信停止の依頼メール
弊社メールマガジンの配信を停止するには、件名を「停止」としてメールを送信する必要があるが、この依頼メールは、件名のみが書かれており、本文には何も書かれていなかった。また、フリーメールアドレスから送信されていたメールであったので、フッターに広告が挿入されていた。それらを誤って誤判定したと推測される。このメールは、2製品で誤検出された。
・ Google AdWordsからのメール
このメールは、Google AdWordsの広告レポートの結果をZIPファイルに添付したメールであるが、これを偽るフィッシングメールが未だ流通しており、これと間違えて正規のものを誤判定したと思われる。このメールは、1製品のみで誤検出された。
・ 顧客からのメール
顧客との仕事上のやり取りのメールで、本文中には、特にスパムとなりそうな箇所はなかった。コンテンツフィルタではなく、それ以外(IPレピュテーション等)の機能でスパム判定された可能性が高い。このメールは、1製品のみで誤検出された。
・ ログ解析ツールからのメール
このメールは、弊社メールサーバに導入しているログ解析ツールから定期的に送られてくるメールである。本文には、解析ツール特有のフォーマットで6000行以上記述されており、それが原因でスパム判定されたと思われる。このメールは、1製品のみで誤検出された。
5.2 メールマガジン
メールマガジンは、通常の正常メールと比較して誤判定しやすい傾向にあるため、正常メールとは別に集計を行った。その中で最も誤判定が多かったのが、『Biglobe カプライト』の「当たる!楽しい懸賞生活(件名)」だった。このメールマガジンは、1日1通懸賞に関する情報が書かれているメールであるが、5製品4製品でスパム判定されていた。本文に「完全無料」「副収入」「所得倍増」という単語が多く、ヘッダーやフッターに「ローン」「キャッシング」「FX」等の金融系の広告が多いのが特徴的だ。
それ以外には、HTMLのみで構成されている『楽天メールマガジン』が2製品で誤検知された。
また、いろいろなサイトを紹介するメールマガジン『百式』が3製品で誤判定された。誤判定した日にちが製品毎に異なるため、一概には言えないが、フィルタリング内容の詳細を調べる限り、URLファイタリング等でスパム判定されている可能性が高い。
■【STIL】スパム対策製品検証について
http://www.source-pod.com/stil/antispam/
