マルウェアスパムとは

悪意のあるスパム、またはマルウェアを含むスパムという意味を持つマルスパムは、悪意のあるペイロードとしてマルウェアを拡散するスパムEメールです。マルスパムのEメールには、ウイルスやマルウェアが含まれるリンクや添付ファイルなどの悪意のあるコンテンツが含まれています。

通常、ジャンクEメールは単に迷惑な存在だと考えられていますが、マルスパムは、マルウェアに感染したマシンや、同じネットワークに接続されている他のマシンに大きな被害をもたらす非常に危険な存在です。

マルスパムの仕組み

昨今、業務でEメールを送受信することは当たり前となっています。Eメールは日常的に広く利用されているため、無防備な受信者にマルウェアを含むメッセージを送信するのにうってつけの攻撃ベクトルとなっています。

マルスパムの脅威は、MelissaウイルスがEメールで大量に拡散された90年代後半に起源があります。Melissaウイルスの成功に味を占めた攻撃者は、すぐさま2000年初頭にILOVEYOUコンピューターワーム攻撃を仕掛け、数百万人ものEメール受信者に送り付けました。それ以降、マルスパムの量と種類は増え続け、ますます巧妙さを増しています。

サイバー犯罪者は、さまざまな手法を駆使し、Eメールを通して危険なマルウェアペイロードを拡散しています。自動化やAIの幅広い使用など、過去10年だけでもテクノロジーのイノベーションを起きています。悪意のあるアクターは、これらのイノベーションを悪用して、より巧妙かつ複雑な手法でマルスパム攻撃を拡散して、Eメールセキュリティソリューションの検知を逃れようとしています。

たとえば、ソーシャルメディアプラットフォームが登場し、誰もがオンライン上で生活を記録することが文化的なトレンドとなっている新たな状況に乗じて、サイバー犯罪者はマルスパム攻撃をさらに進化させています。ソーシャルエンジニアリングは、受信者のソーシャルフットプリントから得た情報を取り入れて説得力の高いコピーを作成し、それにマルウェアのペイロードを組み込む手法です。これは、攻撃者が受信者を欺いて侵入の足場を築く際の、非常に効果の高いマルスパムキャンペーン手法であることが実証されています。

マルウェアスパムの特定

攻撃者はさまざまな手法を駆使して攻撃を仕掛けます。そのためEメールユーザーは、常に油断することなく、不審なマルスパムのEメールの兆候がないか注意を払うことが重要です。以下のような兆候が見られれば、マルスパムの可能性が高いと考えられます。

• 送信者のEメールアドレスが正しくない、またはドメイン名に矛盾がある
• 文面のトーンが不自然（同僚からのメッセージだが、なれなれしすぎたり、よそよそしすぎたりするなど）
• メッセージに文法の誤りやスペルミスが多数存在する
• 緊急性をあおって、要請にすぐに従うよう受信者に求める内容である
• 「アカウント停止の最終警告」のような脅しが含まれている
• Eメールに、受信者が要求していない不審な添付ファイルが含まれている
• 埋め込まれたリンクのURLがおかしい
• メッセージで認証情報、支払い情報、その他詳細な個人情報を求めている
• 受信者の側から会話を始めていない（未承認Eメールは常に注意して扱う必要があります）

マルスパムへの対策方法

最終的に、マルスパムの攻撃者は、受信者に悪意のあるURLリンクをクリックさせたり、Eメールの添付ファイルをダウンロードさせたりして、マルウェアのペイロードを送り込むことを狙っています。Eメールユーザーは、正規のEメールであるという強い自信がある場合を除き、このような操作を行ってはいけません。

たとえば、あなたが同僚にEメールを送り、何らかの情報を求めたとします。その同僚から返信が来た場合、その返信メールは安全だとみなしてもよいでしょう。しかし100%の確信がない場合は、セキュリティのベストプラクティスとして、リンクをクリックしたり、ファイルをダウンロードしたりしないでください。

ユーザーの判断力に頼るだけでは確実な対策とはなりません。以下のベストプラクティスも取り入れるようにします。

• 従業員の意識向上トレーニング：マルスパムの脅威について認識し、マルスパムの脅威の兆候を警戒して、そのような試みが見つかれば適切な企業セキュリティスタッフに報告するよう、従業員に対してトレーニングを実施します。
• ウイルス対策ソフトウェアの使用：マルウェア対策ツールは、デバイスをスキャンし、マルスパムを通してシステムに侵入するマルウェアを阻止、検知、除去します。
• Eメールセキュリティソリューションの使用：Eメールセキュリティソリューションは、専門のセキュリティ研究者が事前に定義した拒否リストを使用して、自動的にマルスパムの配信をブロックしたり、マルスパムのEメールをジャンクフォルダーに移動したりします。
• 最新のブラウザとソフトウェアの使用：システムやブラウザは必ず最新バージョンを使用します。工夫を凝らした新たな攻撃が常時仕掛けられています。絶えず組織のソリューションにパッチを適用して更新することで、マルスパムの脅威に対する防御を強化することができます。
• マルスパムが疑われるEメールや、その他不審なEメールに返信しない：マルスパムのEメールに返信すると、そのアドレスが現在も使用されていることをサイバー犯罪者に知らせることになります。するとそのアドレスは優先的な攻撃対象となり、継続的に標的とされることになります。
• 多要素認証 (MFA) の使用：マルスパム攻撃を受けて被害者の認証情報が侵害された場合でも、MFAを使用すると、もう1段階の認証（スマートフォンに送信されたアクセスコードなど）を受けなければ機密性の高いアカウントにアクセスできません。

マルウェアスパムの報告

マルスパムが疑われるEメールやその他不審なEメールを受信トレイで受信したユーザーは、そのようなメールを認識した時点で報告を行うことにより、自分自身を保護し、攻撃の進行を遅らせることができます。

従業員は、不審なEメールを組織のIT部門に報告することができます。さらに、phishing-report@us-cert.gov宛てにEメールを転送すると米国政府のCybersecurity and Infrastructure Security Agency (CISA) に報告することもできます。これはインターネット利用者としての責務と言えるでしょう。