スパム (メール)

スパム (spam) は、受信者の意向を無視して無差別かつ大量に一括してばらまかれる各種ネットメディアにおけるメッセージのこと。

当初は、電子メール(SMSを含む）サービス開始と共に電子メールにおけるスパムが席巻した。近年は各種SNSに同様な迷惑行為もある。

「迷惑メール」という語もあるが、その内容が迷惑であろうが、仮に有用であろうが「受信者や媒体の意向を無視して、無差別かつ大量に一括してばらまく」のがスパム行為であって別の語である。

スパムメールは、宣伝目的で一方的に送られる電子メールである。販売側から見て、不特定多数の個人に対して広告活動をするとき、郵便に比べて電子メールでは以下のような特徴がある。

• 郵便では一通ごとに内容の印刷と郵送料によって出費が発生するが、電子メールはインターネット接続料金のみで送信できるため、コストが非常に低い。
• 短時間に大量の一括送信が可能。
• 封筒ごと捨てられる恐れがなく、題名だけでも受信者の目に触れる可能性が高い。

インターネットの普及とともに、無差別送信されるメールは急増した。セキュリティソフト会社マカフィーが2010年4月から6月にかけて調査した結果では、スパムメールの1日あたり配信数は約1750億通とされている^[1]。メール使用者にとって必要な通常のメールよりも、これらスパムがはるかに多く届くといった事態にもなり、大きな社会問題となっている^[2]。

なお、語源となった商品名（#語源参照）との混同や、一種のインターネットジャーゴン（専門語）である「スパム」を避け、日本語を使ってわかりやすく「迷惑メール」と呼ばれることも多い。

受信者に直接送信されるスパムの他に、宛先不在のスパムを、記述されている偽の送信元に返信することにより生じるbackscatter（後方拡散）、またはcollateral spam（巻き添えスパム）と呼ばれる二次被害を起こすこともある。

世界最初のスパムは、コンピュータ会社のディジタル・イクイップメント・コーポレーションが1978年5月に送信したものとされる^[3][4]。内容はDECSYSTEM-20の製品発表会の案内で、約400人に送信された。

これらの無差別かつ大量に一括して送信される電子メールのほとんどは広告メールで、「迷惑メール」「ジャンクメール(junk mail)」「バルクメール (bulk mail)」とも呼ばれ、日本国内においては総務省などの省庁が使う表現に従って「迷惑メール」と呼ぶことが多い。アダルト向け勧誘やワンクリック詐欺のURLが記されていることがある。

英語では、次のように呼ばれることもある。

UCE (Unsolicited Commercial Email)

勝手に送りつけてくる宣伝電子メール

UBE (Unsolicited Bulk Email)

勝手に送りつけてくる大量の電子メール

なお、コンピュータウイルスやワームから無差別的に発信される電子メールも存在し、「ウイルスメール」と呼ばれることがある。このメールに添付されるファイルは、ウイルスそのものである場合が多く、厳重な警戒が必要である。

語源は、缶詰の "SPAM" およびコメディ番組『空飛ぶモンティ・パイソン』のスケッチ、『スパム』から来ている。

スパムではないメールのことを、スパムに準えて"ham"（ハム）と表現することがある。アンチスパムソフトウエアでhamという表現が採用されていることがある^[どれ?]。

有料ないし無料の会員制出会い系サイト、アダルトサイト、ネズミ講（英: Make Money Fast）、マルチ商法、株取引^{[注 1]}、商品の販売、ディプロマ・ミル（学士号・修士号・博士号など学位の販売）、オンラインカジノ（日本からの利用は違法）、ダイエット・アダルト関連の医薬品類の販売など。出会い系サイトの宣伝がきっかけで、青少年が性犯罪に巻き込まれるケースもある。海外発とみられるものも多い。広告宣伝メールでは、オプトアウトすることは逆効果である。

また、社会問題に関する訴えや、思想宣伝的な意図をもって流布される内容のスパムもある。

2003年頃から、有料成人向け番組、ツーショットダイヤル、ダイヤルQ2、有料出会い系サイト等、実際には利用していない有料情報サービスの利用料金を請求する、悪質な架空請求詐欺メール、ワンクリック詐欺メール、フィッシング詐欺メールといったものが増加し、社会問題になっている。

送信するアドレスについては、ウェブページや電子掲示板などに掲出されているアドレスを収集ロボットで大量収集したものが用いられることが多い。あるいは、懸賞応募などでユーザーが自ら登録したものや、何らかの契約業務に関連して収集された個人情報の外部流出によるケース、無線の識別信号を取り入れた物やニフティのIDのように単純な英数字且つ書式に規則性のあるアドレスに、使用ユーザーの有無に関係なく作成して無差別に送付するものもある。

このメールアドレスリストには主に2種類あり、「無差別に収集され、現在は既に無効となっているものも多く含まれているリスト」と「有効であり現在使われていると確認されたメールアドレスのリスト」がある。後者のリストの方が人の目にスパムを触れさせられる可能性が高く、スパマー、あるいは送信者はリスト中の有効なアドレスを選び出すことに腐心している。

リストの中から有効なアドレスを選び出す方法としては、主に下記の3つがある。

送信拒否方法や苦情の送付先が書かれている。

「配信停止はこちら」などの文句とともに返信用のメールアドレスが記載されている場合が多い。ここに連絡をすると、「現在有効なメールアドレスであり、このアドレスの持ち主はスパムメールをきちんと開いて読んでいる」と判断される。この手の連絡先は、そういう「返信」を期待して記載されている場合が大半であり、連絡したとしてもスパムメールの配信が止まる保証は全く無いどころか、メールアドレスが分かったことで、逆にスパムメールを大量に送り付けて来ることが殆どである。

サイトへの広告掲載や質問を装って返答させ、それをリスト化する業者も存在する。

スパム内のヘッダや本文に、スパムメール毎の固有IDを含ませたウェブサイトへのURLやメールアドレスを設定する。

HTML形式のメールとなっており、特定のURLの画像を参照するように記述されている。

URLに固有の識別子が割り当てられている場合は、どのメールアドレスに送信したものかが判別される（このような画像ないしHTMLコードはWebビーコン、Webバグなどと呼ばれる）。

前二者に対しては連絡しない・URLをクリックしないという自衛手段で防ぐことができる。ウェブビーコンでは、メール本文の画像を開いた時点で情報が判別される危険があるが、「HTML形式のメールは開かず即刻削除する」といった強硬な対策を取ると、スパムではない通常の電子メールも削除してしまうリスクがある。そのため、メーラーの中には「イメージブロック」と呼ばれる、画像の表示を禁止する機能が実装されているものもある。

スパムメールを送信している者（spammer、スパマー）は“ゾンビ”と呼ばれる不正侵入されたシステムで構成された巨大な軍隊のようなものを統制している。スパマーのコミュニティは異常なほど高度に組織化されており、フィルターを通り抜ける方法を開発する者、マシンを乗っ取りゾンビにしてしまう者、そのマシンの利用権を切り売りする者もいる。ゾンビシステムの数は数千台にのぼると見られている^[5]。景山忠史は、著書の中で全迷惑メールの40％以上はゾンビPCから送信されているのではないかとしている^[6]。

日本においては、特定電子メールの送信の適正化等に関する法律・特定商取引に関する法律等によりスパムの送信方法に対する規制が行われている^{[注 2]}。規制内容は主に次の通りである。

• 原則として、広告・宣伝メールを送信することに対して同意した受信者以外に対しては、特定電子メールを送信してはならない。（オプトイン）
• 送信者が、送信拒否の通知をした者に対して、特定電子メールの送信をすることの禁止（オプトアウト）。（ただし上述の通り、送信拒否の通知はメールアドレスの有効性を知らしめるもので、かえって逆効果である。）
• 商品やサービスの販売を目的とした広告である場合は、広義の通信販売とみなし、取り扱い業者の所在などの連絡先を明示しなければならない。（表示義務）

しかしながら、スパム送信そのものに対する規制は不十分で、問題も多い。2008年2月には、「特定電子メールの送信の適正化等に関する法律」の改正案をまとめ、日本国外から発信されたスパムについても取り締まりの対象とするほか、罰金の最高額を改正前の100万円から3000万円に引き上げるなど、規制を強化している^[7]。

違法特定電子メールの申告窓口としては、次の二つの団体が指定されている（規定された法律が異なるためで、どちらでも申告を受け付けている）。

• 日本データ通信協会（特定電子メールの送信の適正化等に関する法律で規定）
• 日本産業協会（特定商取引に関する法律で規定）

現在のメールシステムは配達経路が記録されるため、発信されたサーバを特定することができる。通常、加入しているインターネット・サービス・プロバイダ (ISP) のサーバから直接送信すれば、すぐにスパム行為が判明して強制退会などの措置をとられるし、自前のサーバから送信すれば、すぐに発信者が突き止められてしまう。そのため、スパマーは無関係な外部のサーバを利用して送信することとなる。そのようなスパムを送信しているサーバは、第三者中継を許している場合が多い。そのため、第三者中継を許すサーバからの受信を拒否することがスパム防止に効果的な場合がある。

こうした、不当なメールの中継を許すサーバのIPアドレスを列記したブラックリストがある。プロバイダなどはこのブラックリストの提供者（例・DSBL、スパムコップ(英語版:SpamCop)、CBL(英語版:Composite Blocking List)）と契約を結んで最新版のリストの供給を受け、スパム遮断に役立てる。これらのブラックリストはリアルタイムに更新されることからRBL（Realtime Blackhole List）とも呼ぶ。

しかし一部では、このブラックリストに間違って登録されることで、メールサーバが一時的に他のメールサーバから無視される被害を受ける場合もある。最近では、英国のspamhaus(英語版:The Spamhaus Project)のように、クラスCのIPアドレス単位でブラックリストに登録するようなケースがおきており、何もしていないのにブラックリストに登録されるようなケースも発生しており、RBLの管理が大きな問題となっている。

逆に、メールサーバについては外部の第三者から不正に使用されないよう、POP before SMTPやSMTP-AUTHを設定したりして、部外者からの送信を防止したりする方策が採られることが多くなった。ただし、POP before SMTPはIPアドレス認証でありセキュリティ上の問題があることも指摘されている。その結果、メールの投稿（ユーザがメールを送信すること）はメールサブミッションポート（Submission Port）である587番ポートを使って"SMTP-AUTH"で送信するOP25B（Outbound Port 25 Blocking）が推奨されている。

そうでなければ、実際にスパムの踏み台にされることはなくても、ブラックリストに収録されてしまって送信機能を失うことになりかねないからである。特にこれは企業やプロバイダにとっては、致命的な問題に繋がるため、メールサーバの設定・管理上で無視できない課題となっている。

メールを受け取る際に、初見のサーバに対して一時的エラーを示すステータスコードを返すようにする。一般にスパムメール業者は大量のメールを短い時間で送信するために、エラーが起きるとリトライしないことが多いためである。もちろん、このままではリトライしないサーバから送信された一般のメールも受け取れないため、通常の応答をする対象となるサーバを記述したホワイトリストや、IPアドレスからホスト名を逆引きして確認する方法などと併用する。

スパムメールが持つ特有の単語などを文章から認識して、あるメールがスパムかそうでないかを自動的に判断、スパムであれば即座に分離するというスパムフィルタ機能を持ったソフトウェアが実用化されている。こうした判断を支えている手法の一つがベイズ推定という統計手法であり、これを利用した判別ソフトウェアはベイジアンフィルタと呼ばれる。また、最近では、その分離性の良さとパラメータ調整の容易さから、ロジスティック回帰も用いられるようになってきている。スパムメールを収集して、そのフィンガープリントをデータベース化する手法も用いられている。収集の方法としてはISPにハニーポット（おとり）を準備して収集する方式がある。また、コミュニティからのフィードバックによるコラボレーション型スパムフィルタという手法もオープンソースや商用フィルターにも使われている。スパムメールは短期間に新種が現れるので、これらのデータベースにも同様のリアルタイム性が要求される。

受信サーバに実装したもの、電子メールクライアントに実装したものなどいくつかの段階で使用可能で、また精度も非常に高い。

また、携帯電話メールでは、改正前の特定電子メール法で題名に必須だった「未承諾広告※」などのメール受信を拒否したり、ドメイン名（送信元のリモートホスト）を指定しての受信などのフィルタリング機能を網内に持つようになった。

2005年以降は、フィルタリングソフトウェアによる除去を不当に免れるため、宣伝メッセージを画像化して送信する手法が増えた。アメリカのマカフィー社の調査によると、2006年初頭にはスパム全体の30％に過ぎなかったのが、同年末には65パーセントに達するようになったという調査結果が出ている^[8]。

この節の加筆が望まれています。

インターネットサービスプロバイダ(ISP)によっては、受信サーバ（POP3）が一定のアルゴリズムに従ってスパムであるかを判定^{[注 3]}し、スパム（または可能性が高いメール）と判定されれば、件名（サブジェクト）に「特定の語句」を付加するサービスを有料ないし無料で提供するサービスもある。

メールソフトによっては件名に「特定の語句」を含むメールを指定したフォルダに移動させ、またはサーバから即座に削除させるなどの処理も可能であるため、大量のスパムを受信する手間が抑制できる。

プロバイダによるフィルタリングの例

• Biglobe
  • 件名に「[spam]」を付加する（例：「[spam]これで大儲け!」）。
• OCN
  • 件名に「[meiwaku]」を付加する（例：「[meiwaku]★資料請求はこちら」）。

スパム業者が有意なメールアドレスのリストを常に欲しているのは前記の通りだが、それとは別に辞書攻撃と呼ばれる手法を使って、一般的な英単語や想定される全てのアルファベットや数字の組み合わせを片っ端から（"@"の前に付けて）特定ドメインのメールサーバ宛に送信することがある。これは、メールアドレスハーベスティング（あるいは単にハーベスティング）と呼ばれる行為で、一般的に、SMTPのRCPTコマンドを大量に発し、それに対する応答が、リレー許可か、宛先不明かによって、メールアドレスの存在を確認している。

一部のメールサーバに於いては、宛先不在のメールであるにもかかわらず、RCPTコマンドでは「リレー許可」を返答し、メールを一旦受信した上で、宛先不明の旨を返信する方式がとられているが、このようなサーバは、メールアドレスハーベスティングの結果、ほぼ無制限のスパムメールを受け取ることになってしまう。また、スパムメールの差出人が詐称されている場合(ほとんどのスパムメールがそうである)、詐称された差出人に対して、宛先不明の旨の通知メールが大量に送信され、第三者に被害を拡大することにも繋がる。このようなことを防ぐには、宛先不明のメールはリレーを許可しない方法が好ましい。

アメリカ合衆国では、電子メールだけでなく郵便を利用したダイレクトメールや電話勧誘販売に対するオプトアウト登録システムが国家（連邦政府）によって始められており、電子メールでは、メールサーバに多大な負荷を掛けるようなスパム送信者への罰則強化が進められている。スパム送信元国は、ブラジル・インド・大韓民国の順に多い^[9]。2012年7月-9月、情報セキュリティ会社のソフォス社の調査によれば、スパム送信元国はインド16.1%、イタリア9.4%、米国6.5%である。一方、七大陸で見るとアジア48.7%、ヨーロッパ28.2%、南米10.2%であった^[10]。

2002年には、NTTドコモの携帯電話宛に約405万通の宛先不明メールを送信した業者に対して、NTTドコモの特定接続サービスの規約に反して迷惑メールを送ったとして損害賠償請求訴訟が起こされ、NTTドコモが勝訴した^[11]。

警視庁は、20億通のスパムメールを発信していた出会い系サイト運営者を、総務省からの措置命令を無視したとして2014年9月に措置命令違反で逮捕している^[12][13][14]。

2002年4月には特定電子メールの送信の適正化等に関する法律（特定メール法）が制定、また特定商取引に関する法律（特定商取引法）が改正され、スパムメールに対する法的な規制が強化された。

2006年3月に日本国内のISPや携帯電話事業者等が設立したJEAG (Japan Email Anti-abuse Group) が迷惑メール対策に対する3つのRecommendationを発表している。その中では、ISPの動的IPアドレスから送信されるメールをブロックするOutbound Port 25 BlockingやSubmission Port+SMTP AUTH（英語版）、送信ドメイン認証の採用などが推奨されている。

国際機関、OECDでは2006年にスパム対策のツールキットを作成している。またスパムへの技術対策の一つとして送信認証技術を取り上げている^[15]。アメリカでは、2004年1月に連邦法としてCAN-SPAM法(CAN-SPAM Act of 2003)が成立している。基本的な考えはオプト・アウトだが携帯電話に向けたメールについてはオプト・インを採用していることや、悪質な迷惑メールに関する規制がなされている。2012年1月には、メール送信事業者等15社からなる迷惑メール対策やフィッシング対策などを目的とする「DMARC.org」が設立、SPF, DKIM等の技術を活用し、送信者認証を行うための仕組みを策定している^[16]。欧州では、2002年7月の電子通信個人データ保護指令の13条が電子メールのダイレクトマーケティング目的での利用については、顧客の同意がある場合にのみ認められるオプト・インを採用している。この指令を受けてEUの各構成国でもオプト・イン規制を整備してきている。

スパムメール防止技術で特に大きな問題となるものとして擬陽性がある。ここでいう擬陽性とは、スパムメールでないメールがスパムメールと判定されたり、善良な企業のIPアドレスがスパムメール送信者のアドレスとして登録されたり認識されることを意味する。擬陽性が発生すると重要なメールが紛失することになるので大きな損失に繋がる可能性がある。フィルタリング技術は、スパムの検出率の向上よりも擬陽性を限りなく小さくするようにされているのが一般的である。

なりすましの問題へ対応として、現在プロトコルを修正することなく認証機能を追加する技術が提案されている。その一つに送信ドメイン認証技術がある。送信ドメイン認証技術は、既存のメール配送の仕組みを変えることなく受信メールサーバーにおいて、メールの送信者情報が偽装されているかどうかをドメイン単位で確認することを可能とする技術である^[17]。

なりすましメール対策、迷惑メールフィルターの設定例

• フィーチャーフォン（例）
  • au - 「メール」キー→「Eメール設定」→「メールフィルター」^[18]。
  • ドコモ - 「iMenu」→「お客様サポート」→「各種設定（確認・変更・利用）」→「メール設定」
  • ソフトバンク - Yahoo!ケータイトップページ「設定・申込」→「メール設定」→「メール設定（アドレス・迷惑メールなど）」→「迷惑メールブロック設定」
• スマートフォンのキャリアメール（例）
  • au - 「メール」アイコン→「設定」→「Eメール設定」→「その他の設定」→「迷惑メールフィルター」
  • ドコモ - 「SPモードメールアプリ」→「メール設定」→「その他」→「メール全般の設定」
  • ソフトバンク - 「My Softbank」にアクセス、ログイン後に「メール設定(SMS/MMS)」→迷惑メールブロックの設定の「変更する」→「個別設定はこちら」を選択。
• 固定ISP（例）
  • IIJ4Uでは「なりすましメール対策フィルタ」が提供されている。フィルタ画面で設定することが可能^[19]。
• ウェブメール
  • Yahooメールでは「DKIM」「DomainKeys」「SPF」を採用している。

メールアドレス収集ロボットの対策として、テキストリテラルで書かない^{[注 4]}手法が取られることがある。

2006年2月にシマンテックが行ったワークショップでの発表によると、スパムの返信率が0.001%（10万通に1通）を超えると採算が取れるという^[20]。

2008年2月には、日本で、のべ22億通のスパムを送信した容疑者が逮捕されており^[21]、この容疑者は約2000万円の利益を得ていたとされる。

低コストで大量にメッセージを送ることができるため、採算が取れるうちはスパムを根絶することは困難であるといわれている。

• 特定電子メールの送信の適正化等に関する法律
• 特定商取引に関する法律
• 行動ターゲティング広告
• チェーンメール
• メールボム
• マルウェア
• キャッチセールス
• メールアドレス検索ロボット
• 架空請求詐欺
• ワンクリック詐欺
• フィッシング (詐欺)
• 多田文明 - 迷惑メール等の詐欺情報に精通している、キャッチセールス評論家。
• GO羽鳥 - 日本唯一の迷惑メール評論家。
• ナイジェリアの手紙
• インプレゾンビ - Twitterにおいて受信者の意向を無視して無差別かつ大量に一括してばらまかれるメッセージ
• ボットネット
• DSBL - 第三者中継、公開プロキシサーバのブラックリスト。
• Outbound Port 25 Blocking
• Inbound Port 25 Blocking
• ベイジアンフィルタ
• ワードサラダ
• スパム電話 - ワン切り
• ルートキット
• 迷惑電話
• 信用毀損罪・業務妨害罪
• 騒音 - 迷惑メールの被害内容には、早朝や深夜など非常識な時間での着信による安眠妨害なども挙げられる。

• 日本データ通信協会 迷惑メール相談センター
• 有害情報対策ポータルサイト 迷惑メール対策編 - インターネット協会迷惑メール対策委員会