サイト内の現在位置

2021年の迷惑メールを振り返る

NECセキュリティブログ

2022年3月18日

NECサイバーセキュリティ戦略本部セキュリティ技術センターの岩田です。昨年は以前にも増してたくさんの迷惑メールが届いており2021年後半には社会問題と言われるようになっています。そこで、2021年に自分の常用メールアカウントに届いた迷惑メールについて調べてみました。

迷惑メールの受信傾向

迷惑メールの受信傾向を確認するため、2021年に受信したメールから迷惑メールと判断したメールをピックアップしました。そしてメールヘッダーのDateフィールドが正しいと仮定し、月毎・曜日毎・時間毎の迷惑メール件数を集計しました(注:迷惑メールかどうかは個人の主観で判断しています。また件数や比率は個人の環境で受信したメール数をもとに算出しています)。

●月毎の傾向

迷惑メールの受信件数は月毎に変化していました。2021年12月は2021年6月に比べ月あたりの迷惑メール受信件数が3倍以上となっていました。

図1 月毎の迷惑メール受信件数

月毎の迷惑メールの受信傾向を調べていたところ、フィッシング対策協議会の発表資料new window[1]と似た傾向になっていることが判明しました。このことより、自分宛にもたくさんのフィッシングメールが届いていることが推測されます。

図2 フィッシング報告件数
(フィッシング対策協議会 2021/12 フィッシング報告状況 より抜粋)

●曜日毎の傾向

迷惑メールの受信件数と曜日に関連性を確認することはできませんでした。土日も迷惑メールの送信作業をしているのか、あるいは迷惑メールの送信が自動化されているのだと考えられます。

図3 曜日毎の迷惑メール受信件数

●送信時間毎の傾向

正確なメール受信時刻の判断は困難なため、メール送信時刻を集計しました(時刻は日本のタイムゾーンに変換)。朝5時頃から迷惑メール送信数が増え始め、朝7時がピークとなっていました。アクターは日本のタイムゾーンの朝早くにメールが届くようにメールを送信することで、迷惑メール対策が取られる前にメール受信者に何らかの被害を発生させようとしているのだと思われます。

図4 送信時刻毎の迷惑メール件数

迷惑メールの受信傾向:ブランド

受信した迷惑メールを、詐称された有名ブランド(企業やサービス)ごとに分類してみました。実際着手したところ多数のバリエーションがあるため、同一企業のサービスは1つに分類しています。集計結果を以下に示します。迷惑メールの9割近くが有名ブランドを騙っているため、フィッシングメールだと思われます。メール受信者を騙す可能性があれば、どのような企業やサービスもターゲットにされているという事実があらためて確認できました。

図5 迷惑メールブランドの比率

比率が大きいブランドについて確認してみます。
第1位は約40%とダントツで、Amazonを騙るメールでした。

非常に多くの種類のメールタイトルが利用されていました。緊急、重要や最終警告などメールを開くように仕向けるタイトルが目立ちます。またセキュリティ警告に見せかけたメールはユーザーが正規のセキュリティ警告メールを見なくなる恐れがあるため非常に悪質な迷惑メールです。

大きく4つ(確認系、アカウント系、決済系、サービス系)に分類すると以下のようなメールタイトルが利用されていました(抜粋)。

確認系

【Amazon】ご利用確認のお願い
アマゾン緊急配送メール
【Amazon】重要なお知らせ
【Amazon】注文状況をご確認ください
【最終警告】Amazon からの緊急の連絡
<重要>【Amazon】ご利確認のお願い

アカウント系

【Amazon】あなたのアカウントは停止されました
今すぐあなたのアカウントを確認してください
アカウント情報を更新できません!
ご利用の Amazon アカウントを一時保留いたしました解決するにはサインインが必要です。
あなたのAmazonアカウントはセキュリティ上の理由で中断されました
【重要】Amazonアカウントからの緊急のご連絡
あなたのアカウントは停止されました
【緊急お知らせ】Amazon異常ログインが見つかり

決済系

Аmazon.co.jp アカウントの支払い方法を確認できず、注文を出荷できません.
<重要>Аmazonお客様 お支払い方法の情報を更新してください
(Amazon.com) 重要なお知らせ:お支払い方法の情報を更新してください
お支払い方法の情報を更新
Amazon.co.jp アカウントの支払い方法を確認できず、注文を出荷できません.
【重要】Amazonご注文の支払い方法の確認が取れませんでした、もう一度ご入力ください

サービス系

【重要】お客様 Amazonプライムのお支払の問題に関するお知らせ
Amazonプライム会費のお支払い方法に 問題があります
Amazonプライムの自動更新設定を解除 いたしました!
Amazon Pay ご請求内容のお知らせ

第2位は約10%の三井住友銀行や三井住友カードを騙るメールでした。Vpass関連の迷惑メールを含めたため比率が増えてしまった可能性があります。

以下のようなメールタイトルが利用されていました(抜粋)。

【三井住友銀行】異常振込入金のお知らせ
【重要】三井住友銀行から緊急のご連絡
Vpass年会費のお支払い方法に問題があります
Diners Club TRUST Clubカードのお知らせ
[三井住友] 重要なお知らせ
【SMBC】VpassID・パスワードの再設定
【三井住友】カードご利用確認のお願い
【三井住友カード】ご利用確認のお願い
【三井住友カード】登録情報は期限切れです
【三井住友カード】重要なお知らせ
【最終警告】三井住友カードからの緊急のご連絡
【重要】三井住友カードご利用確認
【重要なお知らせ】【三井住友カード】ご利用確認のお願い
異常な支払い額の通知 【VpassClub通信】
【三井住友カード】Vpassが長期間変更 されていません
三井住友カード【重要】

第3位は約7%の楽天市場や楽天カードなど楽天グループに関するものでした。多数のサービスがあるにも関わらず昨年は迷惑メールのブランドとしてあまり利用されていないようでした。

以下のようなメールタイトルが利用されていました(抜粋)。

【楽天銀行株式会社】カード情報更新のお知らせ
【重要なお知らせ】カード情報更新のお知らせ
[楽天] アカウントが制限されています、支払い情報の復旧を確認す
[楽天] アカウントに異常ログインの可能性があります
【Raktuen】注文状況が変更されました
【最終警告】楽天カードからのお知らせ
【楽天e-NAVI】 にご登録のアカウント(名前、パスワード、その他個人情報)の確認.
【楽天市場】 アカウントの支払い方法を確認できず、注文を出荷できません.
【楽天市場】お支払い方法を更新してください知らせ
【楽天市場】アカウントの支払い方法を確認できず、注文を出荷できません.
【重要】カード情報更新のお知らせ
【重要】楽天会員アカウントに関するお知らせ
お支払い方法の情報を更新
[楽天] セキュリティ警告: 誰かがあなたのアカウントにサインインしようとしていますよりご確認下さい
【楽天市場】アカウントの支払い方法を確認できず、注文を出荷できません.
楽天実名システム認証確認してください

第4位は約7%のメルカリでした。他ブランドと比べクーポン系メールが特徴的でした。お得な話だと個人情報やカード番号を入力してしまう人が多いのかもしれません。

以下のようなメールタイトルが利用されていました(抜粋)。

メルカリ事務局からのお知らせ クーポン コード
【メルカリ】一時的な利用停止、ログインして確認してください
【重要なお知らせ】メルカリ ご利用確認の お願い
【重要】メルカリ本人確認のお知らせ
【重要】メルカリ からの緊急の連絡
【最終警告】メルカリ からの緊急の連絡
【メルカリ】重要なお知らせ
【メルカリ】お買い物で使える3000円分 ポイント必ずもらえる!

第5位は約5%のETCカードやETCサービスに関するものでした。金融系カードではないのですが上位にランクインしました。日常的に自動車を利用される方は引っかかりやすい内容なのかもしれません。

以下のようなメールタイトルが利用されていました(抜粋)。

ETCサービスは無効になりました!
ETCあなたのアカウントは停止されました !
ETCカードが一時停止されました
ETCサービスご利用者様へ大切なお知らせ
ETC利用照会サービス
【重要】ETCカードが一時停止されました
【重要なお知らせ】ETCカードが一時停止 されました
ETCサービスをご利用いただきありがとうございます
【重要】普段と異なる環境からのログインを検知しました(ETC利用照会サービスピューロー)

●その他のブランド

その他少数利用されていたブランドを抜粋します。以下からもフィッシングに利用されるジャンル・企業は無差別であることが確認できると思います。

通販系の迷惑メールタイトル(抜粋)

ヨドバシ・ドット・コム:アカウントでお支払い方法を更新する必要があります
ビックカメラ.com:カード情報更新のお知らせ

生命保険系の迷惑メールタイトル(抜粋)

【明治安田生命】セキュリティシステム更新通知
住友生命保険から重要なお知らせ
朝日生命から重要なお知らせ
【アフラック生命保険】セキュリティシステム更新通知

仮想通貨系の迷惑メールタイトル(抜粋)

【DCNトークンキャンペーン】報酬の受け取り方のご案内
MyEtherWalletアカウントにログインすると、CHZ【トークン】を20,000枚受け取ることができます。
Stellargoトークンの上場に関するお知らせ、20000個のStellargoトークンを受け取ることができます。

銀行系の迷惑メールタイトル(抜粋)

[PayPay銀行]個人情報が失効のご連絡
【三菱UFJ銀行 重要なお知らせ】ご利用確認のお願い
【重要なお知らせ】【三菱UFJニコス銀行 】クレジットカードがロックされています。
【重要なお知らせ】<鹿児島銀行>行利用確認
【重要なお知らせ】【株式会社イオン銀行】 ご利用確認のお願い
【重要なお知らせ】お客様の三井住友銀行の口座から不正に出金する手口です
【重要なお知らせ】新生銀行カードご利用確認

コロナ系の迷惑メールタイトル(抜粋)

【重要】自衛隊 大規模接種センターの概要  予約サイト案内(予約・受付案内)
二回目特別定額給付金の特設サイトを開設しました。

●フィッシング以外の迷惑メール

フィッシング以外の迷惑メールについていくつか抜粋します。

偽ブランド系の迷惑メールタイトル(抜粋)

市場最低価格 ブランドスーパーコピー時計 100%品質保証
日本最大級スーパーコピー通販店!

闇バイト系の迷惑メールタイトル(抜粋)

在宅勤務に適したアルバイトです
ネット副業のアルバイト募集、毎日楽に1万円2万円を稼ぎます

脅迫系の迷惑メールタイトル(抜粋)

このメールを大切にしてほしいです。!
メールをチェック!
メールを確認してください!
私に連絡してください!
重要なニュース

脅迫系の迷惑メールの本文冒頭部分

どうも、こんにちは。
まずは自己紹介をさせていただきますね。
私はプロのプログラマーで、自由時間ではハッキングを専門にしております。
今回残念なことに、貴方は私の次の被害者となり、貴方のオペレーティングシステムとデバイスに私はハッキングいたしました。

やあ!
私はプログラマーで、約半年前にあなたのメールアカウントとデバイスをハッキングしました。
アクセスした安全でないサイトの1つにパスワードを入力しましたが、私はそれを見つけました。
もちろん、パスワードを変更することも、すでにパスワードを設定していることもできます。
しかし、それは問題ではありません、私のマウスソフトウェアは毎回更新されます。

●その他

他に英語や中国語の迷惑メールも届いていました。

迷惑メールの特徴

迷惑メールに共通する特徴がないか確認するため、メールヘッダーを分析してみました。

●メールヘッダー

メールヘッダーには表示されるメール本文以外にも様々な情報が含まれています。メールヘッダーの改ざんは容易ですが、メール差出人についての情報が得られる可能性があるため、メールヘッダーを分析してみました。

●X-mailer

X-mailerは差出人が利用したメールソフトの名称とバージョンを示しています。任意の文字列を指定可能ですが、メールの差出人に紐づく情報のため集計してみました。集計結果を確認すると、迷惑メールの約50%は同じメールソフトが利用されていることが判明しました。これは有名なメールソフトを利用することで正規ユーザーとの判別を困難にすることが目的だと思われます。また迷惑メールの約30%はランダムなメールソフト名、例えば”Bblhumtqu 7”や”Ndrnnrksu 4”とランダムなアルファベット+数字となっていました(仕様ではアプリケーション名+バージョン番号)。メールフィルタ設定を困難にすることやSPAMフィルタの学習阻害が目的だと思われます。

図6 X-mailerの比率

●送信元IPアドレス

Receivedには送信元IPアドレスや中継したメールサーバーの情報が含まれています。スクリプトを作成し、可能な範囲で送信元IPアドレスを抽出してみました。抽出したIPアドレスにはほぼ重複がなく、特定のメールサーバーを利用せずに迷惑メールを送信していると考えられます。多数のIPアドレスが利用されているため上位2オクテットで集計してみました。集計結果を確認すると、迷惑メールの約30%は同じ事業者(country: CN)から送信されていました。また送信元IPアドレスの多くは海外でしたが、一部国内のIPアドレスも含まれていました。

図7 送信元IPアドレス(上位2オクテット)の比率

●エンコード

Subject(メールタイトル)の文字エンコードを集計してみました。集計結果に際立った特徴はありませんでしたが、一部Subjectで中国語によるエンコードの利用が確認できました。

(gb2312でエンコードされたSubjectの例)

デコード前Subject =?gb2312?B?PNbY0qo+SkFDQ1Olq6lgpcmktMD708O0X9VK?=
デコード後Subject <重要>JACCSカードご利用確認

図8 メールタイトルのエンコードの比率

●メールドメイン名

一般的にFromには差出人のメールアドレス、Return-Pathには送信メールがエラーの場合の返信先メールアドレスを設定します。FromとReturn-Pathに設定されたメールアドレスのTLD(Top Level Domain)を集計してみました。

集計結果を確認したところ、FromとReturn-Pathで設定されているメールアドレスのTLDの比率に差があることがわかりました。特に JP ドメインではFromに比べてReturn-Pathでは減少していることより、メール配信エラーについて送信者が把握しようとReturn-Pathに別のメールアドレスを設定していると考えられます。

図9 FromとReturn-Pathに設定されたメールアドレスのTLD比較

実際にどのようなJPドメイン名が利用されているのか、Fromで利用されているJPドメイン名について集計してみました。その結果、正規ドメインになりすましたメールが殆どを占めていることが確認できました。

図10 Fromで利用されているJPドメイン名の比率

●Time zone

Dateで指定されているTime zoneについて集計してみました。全体の約80%が+0800(中国、シンガポール)となっており、日本(+0900)は全体の約20%だけでした。

迷惑メールの80%以上は国内ブランドを装うメールでしたが、偶然にも80%以上の迷惑メールは国外のTime zoneを利用していたのは興味深い事実です。

図11 Dateで指定されているTime zoneの比率

●その他1

日本語おかしいメールタイトルがいくつか確認できました(抜粋)。
アクターはあまり日本語に詳しくなく、機械翻訳を利用して迷惑メールを作成していると考えられます。

Amazon 異常は更新待ちです 所有権の証明
Amazon.co.jp アカウント所有権の証明(名前、その他個人情報)の確認
【Rakuten、返信を楽しみにしている】
ETCサービスは無効になりましたお知らせ!

また、以下のようなテンプレートと思われるメールタイトルがありました。ツールを利用して迷惑メールを作成していると考えられます。

%NAME% Amazonアカウントの支払い方法を確認できず、注文を出荷できません。%DATE% %TIME%

●その他2

差出人とコンテンツが一致しないメールがいくつか確認できました。例えば、以下のように差出人が楽天にも関わらず本文はAmazonの警告になっていました。同一アクターが複数ブランドで迷惑メールを送信しており、設定ミスなどによりこのようなメールが送信されてしまったと考えられます。

図12 メール差出人とメール本文が不一致の例

迷惑メールへの対策

ユーザー側でのフィッシングメールに対する対策については、弊社Blog 「アカウントや銀行情報を窃取するフィッシングメール」[2] を参考にしてください。

差出人メールアドレスが正規ドメインになりすまされている現状では、ユーザーが迷惑メールかを判断するのは非常に困難な状況になっています。例えば、差出人でメールをフィルタリングしても、迷惑メールが正規メールとしてフィルタリングされてしまいます。そしてメールはデジタルデータのため、いくらでも本物に似せることができ、目視で迷惑メールと見破ることはほぼ不可能です。また人間である限りうっかりミスが発生してしまうこともあります。

現在(2022年3月)でも、なりすましメールは数多く、また利用されているブランドも増加しており、システム側での対策が強く望まれます。システム側での対策については、送信ドメイン認証技術が有望だと考えられます。フィッシング対策勉強会の資料new window[3]によると、DMARCを使えば現状、半数以上が迷惑メールと判断可能とのことです。今回分析対象とした迷惑メールも半数以上の送信元メールアドレスはJPドメインを利用しており、JPドメインの大半が送信元メールアドレスをなりすましていた事を考えると、送信ドメイン認証技術が普及することで迷惑メールが半減することを期待できます。また、なりすましメールを防ぐことができれば、ユーザー側でも送信元メールアドレスによるメールのフィルタリングによるフィッシングメールの対策が有効に機能します。

おわりに

2022年になっても、なりすましメールは増え続けており送信ドメイン認証技術を活用する企業やサービスがもっと普及することを切望します。

特別な観測基盤はないのですが、多数の迷惑メールを確認することができました。今回迷惑メールを受信したメールアドレスをHave I Been Pwned?new window[4]で確認したところ、3件の漏洩が確認されていました。長年利用しているメールアドレスのため、いつの間にかどこかのサービスから情報流出したようです。このような漏洩データに含まれていたメールアドレスを利用して迷惑メールを送信しているのかもしれません。

図13 いつのまにか流出件数が3件に増加していた

参考情報

執筆者プロフィール

岩田 友臣(いわた ともおみ)
セキュリティ技術センター リスクハンティングチーム

hardware/firmware/software の開発や生体認証の技術開発などを経て、現在はペネトレーションテスト、脆弱性診断などの業務に従事。

noraneco のメンバー。主に Reversing/Misc 問を担当
SANS - Cyber Defense NetWars 2019.10 / 2020.8 1位(Team)
GREM、GCFA、GCIH メダル保持
SECCON 2019 国際決勝5位
CISSP、GXPN、GREM、GCFA、GCIH、RISSを保持
今欲しい資格は ねこ検定

執筆者の他の記事を読む

アクセスランキング