2025/03/25 m-FILTER,サイバー攻撃,フィッシング
4.6億通の受信メールを分析 悪性メールは42%、うち91%はフィッシング
この記事の要約
- 2024年8月~2025年2月における、国内組織800以上の、受信メール約4.6億通を分析
- 国内組織の受信メールのうち42%が悪性メール
- 悪性メールのうち91%はフィッシングメール
- 年末年始に悪性メールが増加、特に2024年12月は59%が悪性メールとなり、正常メールを上回った
- 2025年1月末の旧正月に悪性メールが激減
- フィッシングメール以外の悪性メールにも注意
国内組織の受信メールを分析
デジタルアーツでは「国内組織」の「受信メール」を集計し、悪性メール(スパムメール)がどれくらいの割合で、どのようなメールを受信しているのか、最新の情報を分析しました(※1)。
- 集計期間:2024年8月~2025年2月
- 組織数:国内818
- 受信メール数:約4.6億
(※1)悪性メールの判定は、m-FILTER の Anti-Spam(アンチスパム)機能および偽装メール対策機能の判定結果を用いています。また、これらの機能を利用している組織のみに絞って集計しています。
正常メールと悪性メール
正常メールと悪性メールを分類すると下図の結果となりました。
調査期間全体でみると、国内組織の受信メールの42%が悪性メールでした。
月別でみると【図2】の通りです。悪性メールは年末にかけて増加し始め、特に2024年12月は激増しました。前の月の11月と比較すると12月は約2.5倍です。
12月は悪性メールの割合が59%となり、正常メールを上回りました。
悪性メールの傾向
それでは、悪性メールにはどのようなものがあるのか見てみましょう。
悪性メールの91%がフィッシングメール
【図1】では42%が悪性メールとなっていますが、その内訳は下図になります。
悪性メールのうち実に91%がフィッシングメールでした。
【図3】において、フィッシングメールはさらに悪用されたブランド別に分類しています(※2)。悪性メールのうち、4つのブランドのフィッシングメールだけで半数を占めます(Amazon 29%、PayPay 10%、えきねっと 6%、三井住友 6%)。
(※2)ブランドの分類に関しては、複数のものをひとつにまとめているブランドがあります(例:三井住友(三井住友カード、三井住友銀行、SMBCなど))。
【図4】はフィッシングメールの月別のグラフで、悪用された数の多かった上位15のブランド順に、左上から右へと並んでいます。
最多のAmazonは通年で非常に多く観測されました。年末年始は、クリスマスや福袋などのオンラインショッピング、帰省のための交通費の支払いなどが多くなるため、そこを狙って多くのブランドの悪用が増加しました。
下記は、フィッシングメールで最も使用された件名トップ10です(まったく同じ文字列が使われたものをカウントした順位です)。
| 順 | 件名 | 悪用ブランド |
|---|---|---|
| 1 | 【重要】支払い方法の承認が必要です - お早めに手続きをお願いいたします | Amazon |
| 2 | 【重要なお知らせ】お客様のお支払い方法が承認されません | Amazon |
| 3 | 【重要】お荷物の配達について重要なお知らせ | 佐川急便 |
| 4 | お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】 | ヤマト運輸、ほか |
| 5 | e-Tax税務署からの【未払い税金のお知らせ】 | 国税庁 |
| 6 | 【重要なお知らせ】未払いの電気料金についてご連絡させていただくものです。お客様のお支払い方法が承認されません | 東京電力 |
| 7 | 【ヤマト運輸】お荷物の再配達手続きが必要です | ヤマト運輸 |
| 8 | 【重要なお知らせ】三井住友カードご利用確認のお願い | 三井住友 |
| 9 | ETC利用照会サービスの重要なお知らせ | ETCサービス |
| 10 | 【重要なお知らせ】未払いの電気料金についてご連絡させていただくものです。 | 東京電力 |
フィッシングメールのほとんどが、本文にURLが記載されていて、そのURLにアクセスするとフィッシングサイトに誘導されるというものです。
旧正月と悪性メール
より細かく日単位で調査をしてみると、1月末から2月初めにかけて悪性メールが急に減少した期間が見受けられました。その減少している期間は、「旧正月」の期間とほぼ一致していました。
「旧正月」とは旧暦でのお正月のことで、アジア圏では複数の国で祝われ、一部の国では「春節」とも呼ばれます。旧正月を祝う国では、前日の大晦日から一週間程度が国の休日となるところが多いとのことです。新暦では今年の旧正月は2025年1月29日でした。
旧正月と悪性メール減少の明確な関連性は不明ですが、デジタルアーツの調査では、
2025年の旧正月の期間に悪性メールが激減していたことがわかりました。
悪性メールの9割がフィッシングメールであるため、ほとんどがフィッシングメールの数値です。フィッシング対策協議会が公開した2025年1月の月次報告書(※3)においても、旧正月の期間は報告数が減少することが述べられています。
”ここ数年、旧正月 (春節) と前後 1 週間は報告数が減る傾向にあり、今年も 1 月下旬は報告数が減少しました。”
(※3) 出典:2025/01 フィッシング報告状況(フィッシング対策協議会)
フィッシング対策協議会ではフィッシングメールやSMS、フィッシングサイトに関する情報提供を、個人・事業者・関連団体等から広く受け付けています。その報告された情報から、「フィッシング報告件数」「フィッシングサイトのURL件数」「悪用されたブランドの数」を集計し、月次報告書として公開しています。
一方で、本稿デジタルアーツにおける集計は「国内組織」の「受信メール」をベースにした集計であるため、観測された内容やボリュームに差異があります。
その他の悪性メール
【図3】の「その他の悪性メール」は9%ありました。下記のようなものが含まれます。
- アカウントや支払い情報の確認を要求するようなもの。ブランドが判断できなかったフィッシングメールも含まれます。
- バウンスメール(メールが送信できなかったと装うもの)
- ブランドコピー品や男性用の薬等の販売・宣伝
- 懸賞品やポイントを入手できると称するもの
- セクストーションメール(性的な写真や動画を手に入れたと嘘をつき、公開されたくなければ金銭を仮想通貨等で支払うよう脅迫するもの)
- マルウェアに感染させる目的のメール
- 下記リンクのレポートにてマルウェアメール(2024年の国内ばらまきメール)の例を紹介しています。
国内組織の受信メール添付ファイルの考察(デジタルアーツ) - その他さまざまなメール
- 様々な広告や迷惑メール
- 例えば、2024年8月には地震発生に便乗して、偽の義援金を募集する不審なメールもありました。
地震に便乗した詐欺的トラブルにご注意ください!-義援金を集めるという不審メールなどに注意!- (国民生活センター)
不適切なSPFレコード「+all」
受信メールの送信元を調査した際に、2,000 以上のドメインでSPFレコードに「+all」が設定されていることを確認しました。この設定は一般的に不適切な記述です。
SPFとは
メールの送信元を認証するためにSPF(Sender Policy Framework)という仕組みがあります。ドメイン所有者が自分のドメインから送信される電子メールが正当なサーバーから送信されていることを、受信者側で確認できるように、SPFレコード(DNSのTXTレコードに記述)を設定します。受信側は、送信者情報がSPFレコードに含まれているかを確認して、一致しない場合はそのメールを不正として扱うことができます。主にスパムやなりすまし(フィッシング)を防ぐ目的で導入されます。基本的な使い方としては、「-all」や「~all」を記述し、特定の送信元だけを許可するがそれ以外は許可しない、というような書き方になります。
- 正しい記述例
v=spf1 include:example.com -all - 不適切な記述例
v=spf1 include:example.com +all
SPFレコードに「+all」と設定してしまうと?
しかし、「+all」と設定してしまうと「すべてを許可する」ことになるため、攻撃者がなりすましメールを送信することが容易になります。メールゲートウェイやアンチスパム機能を持つ製品によっては、なりすましメールを防げずに通過してしまう可能性があります。実際に、ブロックを逃れる目的でマルウェアを配信するメールで悪用されたという調査報告がされています(※4)。
(※4)How A Large-Scale Russian Botnet Operation Stays Under the Radar (January 14, 2025) | Infoblox
今回デジタルアーツが発見した不適切なSPFレコード持つドメインのうち、日本国内組織のドメインは45件ありました。ご連絡が可能であった組織に対して、SPFレコードのご確認・設定修正についてお伝えいたしました(Dアラート活動)。