スパムとは

スパム (Spam) とは、受信者の同意なく大量に送信される迷惑メッセージの総称です。電子メールが最も一般的ですが、SMS、SNS のダイレクトメッセージ、掲示板への書き込み、コメント欄への投稿など、あらゆるデジタル通信チャネルで発生します。

全世界のメールトラフィックの約 45% がスパムとされており、企業のメールサーバーにとって帯域とストレージの浪費、従業員の生産性低下、フィッシングやマルウェアの配布経路としてのリスクが深刻な問題です。個人ユーザーにとっても、詐欺メールの見分けに時間を取られるだけでなく、うっかりリンクをクリックすれば金銭的被害に直結します。

スパムの歴史 - 1978 年の最初のスパム

記録に残る最初のスパムメールは 1978 年 5 月 3 日、DEC (Digital Equipment Corporation) のマーケティング担当者 Gary Thuerk が ARPANET 上の約 400 人に送った製品宣伝メールです。当時はまだ「スパム」という呼称はなく、受信者から強い反発を受けたものの、実際に数件の商談につながったとされています。

「スパム」という名称は、Monty Python のコント (レストランのメニューがすべて SPAM 缶詰入りで、客が何を注文しても SPAM が出てくる) に由来します。1990 年代に Usenet (ネットニュース) で大量投稿が問題化した際、この「望まないのに押し付けられる」イメージから「スパム」と呼ばれるようになりました。

2003 年にアメリカで CAN-SPAM 法が施行され、商用メールにオプトアウト手段の提供が義務付けられました。日本でも特定電子メール法により、事前同意のない広告メールの送信が原則禁止されています。しかし法規制だけではスパムを根絶できず、技術的なフィルタリングとの併用が不可欠です。

フィルタリング技術の仕組み

現代のスパム対策は、複数の技術を組み合わせた多層防御で成り立っています。

メール本文に含まれる単語の出現確率を統計的に分析し、スパムかどうかを判定する。ユーザーが「迷惑メール」に振り分けるたびに学習が進み、精度が向上する。Paul Graham が 2002 年に発表した論文 "A Plan for Spam" がこの手法を広めた。

送信元ドメインの DNS レコードに、そのドメインからメールを送信できるサーバーの IP アドレスを登録する。受信側は送信元 IP が SPF レコードに含まれるか検証し、なりすましを検出する。

送信サーバーがメールに電子署名を付与し、受信側が DNS 上の公開鍵で署名を検証する。メールの改ざんと送信元の偽装を同時に検出できる。

SPF と DKIM の検証結果に基づき、認証に失敗したメールの処理方針 (何もしない / 隔離 / 拒否) をドメイン所有者が指定できる。レポート機能により、自ドメインを騙るメールの送信状況を把握できる。

Gmail や Microsoft 365 などの主要メールサービスは、これらの技術に加えて機械学習ベースのフィルタリングを併用しています。2024 年 2 月以降、Gmail は 1 日 5,000 通以上を送信するドメインに SPF・DKIM・DMARC の設定を義務化しており、メール認証は「推奨」から「必須」の時代に移行しています。

スパムボットと大量送信の仕組み

スパムの大量送信を支えているのが、ボットネットに組み込まれたスパムボットです。攻撃者はマルウェアに感染した数万〜数百万台のデバイスを遠隔操作し、各デバイスから少量ずつメールを送信することで、IP アドレスベースのブラックリストを回避します。

スパムボットは以下の手法で検出を逃れます。

IP ローテーション: 送信元 IP を頻繁に切り替え、1 つの IP がブラックリストに登録されても別の IP から送信を継続する。
テンプレートの動的変更: メール本文の文面やレイアウトを自動的に変化させ、コンテンツベースのフィルタリングを回避する。
画像スパム: テキストの代わりに画像にメッセージを埋め込み、テキスト解析ベースのフィルタをすり抜ける。

Web サイトのコメント欄やお問い合わせフォームに対するスパムボットも深刻な問題です。CAPTCHA やハニーポットフィールド (人間には見えない隠しフォーム項目) による対策が一般的ですが、高度なボットは CAPTCHA を突破する能力を持つため、レート制限との併用が推奨されます。

実務的なスパム対策

スパムを完全に排除することは不可能ですが、被害を最小限に抑えるための実務的な対策があります。

メールサーバー管理者向け

SPF・DKIM・DMARC の設定: 自ドメインのなりすましを防ぎ、受信側のフィルタリング精度を向上させる。DMARC ポリシーは段階的に none → quarantine → reject へ引き上げる。
リアルタイムブラックリスト (RBL) の参照: Spamhaus、Barracuda などのブラックリストを受信時に参照し、既知のスパム送信元からのメールを拒否する。
グレーリスティング: 初回の接続を一時的に拒否し、再送を待つ。正規のメールサーバーは再送するが、スパムボットは再送しないことが多い。

個人ユーザー向け

メールアドレスの公開を最小限にする: Web サイトや SNS にメールアドレスを平文で掲載しない。掲載が必要な場合は画像化や JavaScript による難読化を検討する。
迷惑メールフォルダを活用する: スパムを「迷惑メール」に振り分けることで、ベイジアンフィルタの学習が進み、フィルタリング精度が向上する。
不審なリンクをクリックしない: スパムメール内のリンクはフィッシングサイトやマルウェア配布サイトに誘導される可能性がある。「配信停止」リンクも、メールアドレスが有効であることを攻撃者に知らせてしまう場合がある。

よくある誤解

スパムは無視すれば害はない: スパムメール自体は無視できても、企業のメールサーバーにとっては帯域とストレージの浪費、フィルタリング処理の負荷増大という実害があります。また、スパムの中にフィッシングメールやマルウェア添付メールが紛れ込んでおり、1 通でも誤ってクリックすれば深刻な被害につながります。
「配信停止」リンクをクリックすればスパムが止まる: 正規の企業からのメールであれば配信停止は有効ですが、悪意のあるスパムの場合、配信停止リンクのクリックは「このメールアドレスは有効で、メールを読んでいる人がいる」という情報を攻撃者に与えてしまいます。結果としてスパムが増加する可能性があります。
Gmail や Outlook を使っていればスパム対策は不要: 主要メールサービスのフィルタリング精度は高いですが、100% ではありません。特にスピアフィッシングのような標的型メールはフィルタをすり抜けることがあります。ユーザー自身の判断力と、組織レベルでの SPF/DKIM/DMARC 設定が依然として重要です。

スパム (Spam)