メールボム

メールボム (e-mail bomb) とは、受信者に害を為すため、同じ宛先に送信する大量の電子メール、あるいは、その行為である。現在ではスパムメールに代表される迷惑メールの一種として認識されている。

過去には高効率で大量のメールを発信するメールボム専用ソフトが公然と配布されるなど世界中で猛威を振るっていたが、近年の電子メールシステム全般の改良に伴い、現在インターネット上における迷惑行為としては陳腐化した古典的手法として扱う傾向が強い。

メールボムは、電子メールのシステムを悪用する迷惑行為で、元来メールサーバ内に各々のメールアドレスに対して確保されたメールボックスの記憶容量を使い切るという行為を指すものである。これは旧来、プロバイダが各々のユーザーに対して数メガバイト程度のメールボックスを提供していた時代に、個人や企業に対する嫌がらせとして発生した。ただしその規模によっては迷惑行為や嫌がらせの領域を逸脱し、犯罪あるいは破壊行為の一種とみなされている事例も存在する。

技術的には、単純に所定のメールアドレスに対してメールを大量発信することを意味するが、このメール発信時には単に電子メールクライアント（メールの送受信用ソフトウェア・メールの受信や閲覧といった機能を備える）から送信する場合もあれば、クラッキング用のマルウェアなどを利用してメールサーバに同一メッセージの大量送信を直接指示する方法や、更にはDDoS攻撃（分散DoS攻撃）のように複数コンピュータをリモート操作して送信を指示する場合もある。

メールボムによる被害

メールボムの手法で送信された電子メールは所定メールアドレスへ速やかに殺到し、保存可能な容量が少ないメールアドレスであれば、数百通という単位で受信した程度で割り当てられたスペースを枯渇させるに至る。この状態に陥ったメールアドレスは新たなメールを送信してもキャンセルされ、何らかの方法でサーバを占有している無数のメールを除去しない限り使用できない。また、大量送信されたメールが殺到することでメールサーバの処理能力が飽和し、DoS攻撃同様にサービス提供が不能な状態に陥るなどの不都合も発生しうる。

メールボックスの容量は、2000年代よりダウンサイジングなど技術面での進歩の恩恵で記憶媒体の容量単価も低下、メールボックスも拡充される傾向が顕著となっている。しかし、これをローカルの電子メールクライアントに受信するユーザー側では、容量が拡充された分だけ多くの不要なメール（ジャンクメールと呼ばれる）受信を繰り返すという事態に陥った。これら大量のジャンクメールを除去する作業は極めて単調であり、なおかつ用心を怠れば重要なメールを誤って除去してしまう可能性もあるため精神的なストレスは少なくない。また、当然大量であればあるほど時間を浪費するため、個人のみならずコミュニティ全体を通してみた場合の被害は計り知れない。

対策による衰退

メールボムのほとんどは本文が同一なので、電子メールフィルタリングで比較的簡単に除去できる。勿論それを回避するよう内容を偽装もできるが、数百通から数千通、場合によっては数万通単位にもなるメール群全てを偽装することは、メールボムの容易さを利点としている攻撃側にとって本末転倒であるため現実的ではない。

現在主流を占めているほとんどの電子メールクライアントは標準でジャンクメールを自動分別、あるいは受信せずにメールサーバから除去する機能を備える。特にベイズ理論を応用したベイジアンフィルタの影響は大きく、このフィルタシステムをユーザー層に提供している電子メールサービスも数多い^[1]。これら受信側の対処策により、近年の電子メールシステムではメールボムは「爆弾」としての機能を喪失しており、時代の遷り変わりによって陳腐化し衰退の一途を辿る古典的手法とする評もある^[要出典]。

メールボムの変種

上記のようにメールボムは1990年代の末頃までに対応策が増え「手軽で非常に有効な嫌がらせ手段」としての価値を失ったことから、一般にはほとんど見られなくなった。迷惑行為としても現在の情報レベルでは技術的に単純かつ稚拙であるため、メールボム発信行為を行ったユーザーがプロバイダから悪質な利用者としてブラックリスト入り、あるいはアクセス禁止などの措置を被る可能性も高い。これはかつて主にアングラサイトなどで運用されていた匿名電子メールクライアントが一時期を境に激減し、送信者情報を特定されないメールボム行為が困難になったことも理由の一つとしてしばしば指摘されている^[要出典]。

しかしその一方で、オプトイン広告のメールマガジンなどは、電子商店街で買物をすると自動登録される機能が標準的に設置されている場合もあり、利用する場合は充分に内容を確認する必要がある。中にはブラウザ経由によるWeb電子メールクライアントを利用しているうち、利用者が受信を許諾していない広告メールマガジンにいつの間にか登録させられているなどのケースも見られる。その一方でリードメールなど特典を謳いながら広告メールの受信を求めるサービスでは、やはり複数のメールサービスに登録され、大量の広告メールが届くこともあり、その各々のメールマガジン解約が煩わしいとしてメールボムと同一視する事例もある。また中には、一般のメールマガジンに他人のメールアドレスを登録して回る事例もある。

この他、不特定多数に迷惑メールを送信する悪徳商法の類では、中には実在する他人のメールアドレスをメールの返信先に指定、あて先不明でメールサーバから自動返信されたメールがそのメールアドレスに殺到する事例もある^[2]。

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力確認 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPヘッダ・インジェクション (CWE-113) HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディングクロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) DNSスプーフィング (CWE-345) セッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) フィッシング (詐欺) (CAPEC-98) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング（英語版） Kerberoasting（英語版）クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） Eメールスプーフィング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) [[]] (CWE-121) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 暗号アルゴリズムの脆弱性 (CWE-327) [POODLE]](CWE-757) KRACK(CWE-757) 誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) メールボムクリアチャネル評価攻撃（英語版）
対策・防御技術	ファイアウォール Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） User and Entity Behavior Analytics（UEBA） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud Access Security Broker (CASB) 多要素認証 (MFA) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Outbound Port 25 Blocking（OP25B） Wi-Fi Protected Access セキュリティ・バイ・デザイン (SBD) ソフトウェア・サプライチェーンゼロトラスト・セキュリティモデルコンテントスニッフィング（英語版）
関連項目・ツール	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit OWASP Sshnuke 脆弱性情報データベース (CVE/JVN) 脆弱性報奨金制度 Nikto Web Scanner（英語版） w3af（英語版）隠れ通信路（英語版）

メールボムによる被害

対策による衰退

メールボムの変種

脚注

関連項目

Related Articles