メールボムとは？ 10分でわかりやすく解説

UnsplashのBrian J. Trompが撮影した写真

大切な業務連絡や顧客からのメールが「届かない」「埋もれる」「処理が止まる」。メールボム攻撃は、そんな状態を意図的につくり出し、業務を妨害したり、別の攻撃（フィッシングや不正ログイン）の痕跡を隠したりすることがあります。この記事では、メールボム攻撃の仕組み・種類・被害・対策を、運用の視点まで含めて整理します。読み終えるころには、自社のメール基盤で「何を設定し、どこを監視し、被害時に何を優先するか」を判断できるようになります。

メールボムとは何か

メールボムとは、悪意ある第三者が短時間に大量のメールを送り付け、受信側のメールボックスやメールサーバー、運用担当者の処理能力を飽和させることで、正規メールの受信・処理を妨害する攻撃手法です。狙いは「メールの可用性（使える状態）」を落とすことにあります。

メールボム攻撃の目的

1. 受信者のメールボックスを過負荷にし、正規メールを埋もれさせる／受信不能にする
2. メールサーバーやゲートウェイに負荷をかけ、遅延・停止を誘発する
3. 対応担当者の作業を逼迫させ、業務を停滞させる（運用妨害）
4. 別の攻撃の「目くらまし」に使う（不正ログイン通知や決済通知などを埋める）

メールボムの仕組み

1. 攻撃者が標的アドレス（例：代表、営業、問い合わせ、請求書受付など）を選定する
2. 自動化スクリプトやボットネット、あるいは外部サービスの悪用で大量送信を実行する
3. 受信側がメールの受け取り・スキャン・振り分け・保存を処理しきれず、キューが滞留する
4. 結果として、正規メールの遅延／不達、運用担当者の見落としが発生する

メールボムによる主な被害

メールボム対策では「迷惑メールを減らす」だけでなく、過負荷時にも正規メールの受信を守る設計（レート制限、隔離、優先度付け、監視と運用手順）が重要です。

メールボム攻撃の種類

メールボムは「大量メールが届く」という結果は同じでも、発生源や手口が異なります。種類を分けて理解すると、対策の打ち手が具体化します。

単純な大量送信（メールフラッディング）

最も典型的な手口です。攻撃者がスクリプト等で同一宛先に大量のメールを直接送ります。送信元IPやドメインが一定の場合は、IP制限やレート制限が効きやすい一方、ボットネットで分散されると単純ブロックが難しくなります。

サーバー・ゲートウェイの処理を狙う攻撃

受信側のスパム判定、ウイルススキャン、添付ファイル展開など「重い処理」を狙い、少ない通数でも高負荷を誘うことがあります。巨大添付や特殊形式、本文の膨張などが典型です。

ヘッダー偽装・なりすましの併用

送信元を偽装し、追跡や遮断を難しくする手口です。受信者自身のドメインを装ったり、実在企業を装ったりすることで、担当者が誤ってホワイトリストに入れてしまうリスクもあります。

ボットネットによる分散型メールボム

多数の感染端末から分散送信されるため、送信元IPの遮断が追い付きません。挙動ベースの制御（急増検知、レート制限、隔離）や、上流（クラウドメールセキュリティ／メールゲートウェイ）での防御が重要になります。

サブスクリプションボム（登録爆弾）

攻撃者が多数のメルマガ・会員登録フォーム等に標的のアドレスを入力し、確認メールやニュースレターが大量に届く状態を作る手口です。送信元が正規サービスであるため、単純なブラックリストだけでは止まりません。フォーム側の対策（CAPTCHA、ダブルオプトイン、レート制限）も関係します。

メールボム攻撃への対策

メールボムは「攻撃メールをゼロにする」よりも、「受信・処理を落とさず、重要メールを守り、復旧を早める」ことが現実的なゴールになります。ここでは技術・運用・人の対策を分けて整理します。

1. 入口で止める：スパム対策と隔離の最適化

• スパムフィルター／メールセキュリティ製品を導入し、隔離（Quarantine）運用を前提にする
• 急増時は「隔離を強める」「添付を厳格化する」など、運用モードを切り替えられる設計にする
• 誤検知が起きた際に、隔離から復元できる手順を整備する

ポイントは“捨てる”より“隔離する”ことです。業務メールを誤って破棄すると、復旧後の損失が大きくなります。

2. 過負荷を防ぐ：レート制限・キュー制御・優先度設計

• 送信元IP／サブネット単位での接続数・通数制限（レートリミット）
• 受信者アドレス単位の受信制限（特定の代表アドレスが飽和しないようにする）
• Greylisting、tarpitting等の仕組みで機械的送信の速度を落とす（環境に応じて適用）
• キュー監視と、閾値超え時の自動アラート（配送遅延・滞留を早期検知）

特に「問い合わせ」「請求」「採用」「代表」など外部公開アドレスは狙われやすいので、専用ポリシーや別キューで守る設計が有効です。

3. なりすましを減らす：SPF / DKIM / DMARC

送信元認証（SPF、DKIM、DMARC）は、なりすまし対策の基本です。メールボムそのものを完全に防ぐ技術ではありませんが、偽装メールの混入を減らし、フィルタリング精度を上げる効果があります。

• SPF：送信を許可する送信元IPをDNSで宣言する
• DKIM：メールに電子署名を付け、改ざんや送信元の整合性を検証する
• DMARC：SPF/DKIMの結果に基づく扱い（隔離・拒否）とレポート運用を定める

DMARCは“設定して終わり”ではなく、レポートを見て送信元の棚卸しを進める運用が重要です。

4. 被害を小さくする：運用手順（初動・復旧・再発防止）

攻撃を受けたときに混乱しやすいのが「誰が何を判断するか」です。最低限、以下を手順化しておくと復旧が速くなります。

1. 切り分け：特定宛先だけか／全社か、遅延か不達か、キュー・CPU・ディスクはどうか
2. 一時措置：対象宛先への流入を隔離・制限し、業務影響を止める
3. 重要連絡の迂回：臨時の連絡先（フォーム、別ドメイン、チケット）を案内する
4. ログ保全：ヘッダー、接続元、時間帯、通数、隔離状況を保存し、後で追跡できる形にする
5. 復旧：キュー解消、隔離の精査、誤検知の救済、容量の回復
6. 再発防止：公開アドレスの見直し、制限値の調整、監視閾値の再設計

5. 人の対策：見落としを防ぐ運用と教育

• 重要通知（決済、認証、送金、監査、契約）を「別チャネルでも受ける」設計にする（管理ポータル／チケット／ログ監視）
• 担当者に「攻撃時は迷惑メールを一括削除しない」「証拠保全を優先する」ルールを周知する
• 目くらまし目的を前提に、不正ログイン通知・決済通知の確認を並行して行う

メールボム攻撃への法的措置と相談先

メールボムは迷惑行為にとどまらず、業務妨害や不正な送信、なりすましなど複数の観点で問題になり得ます。法的措置は「罰則の話」だけでなく、社内での意思決定（警察相談・弁護士相談・取引先説明）を進めるための整理として重要です。

関係し得る主な法領域

• 迷惑メール送信に関する規制（同意のない広告宣伝メール等の扱い）
• 不正アクセスや認証情報の不正取得が絡む場合の規制
• 業務を妨害した場合の刑事上の論点（可用性を落とす行為を含む）
• 損害が出た場合の民事対応（損害賠償、差止め等）

実際にどの枠組みが当てはまるかは、攻撃の態様（送信元、偽装の有無、侵入の有無、業務影響）で変わります。社内で断定せず、証拠を保全した上で専門家に確認するのが安全です。

被害時にやるべきこと（証拠と記録）

• メールヘッダー（Received行を含む）と本文・添付の保存
• サーバーログ（SMTP接続、拒否、キュー、スパム判定）の保存
• 発生日・時間帯・通数・対象宛先・業務影響（不達、遅延、停止時間）の記録
• 対処のタイムライン（いつ何を設定変更したか、誰が判断したか）

相談先の例

• 社内：情シス／CSIRT／法務／個人情報保護担当（該当する場合）
• 社外：メール基盤ベンダー／MSSP／セキュリティベンダー／弁護士
• 公的窓口：地域の警察相談窓口（緊急性がある場合は110番）

「攻撃メールが多い」だけで終わらせず、業務影響と証拠を残すことが、再発防止と社外説明の品質を左右します。

まとめ

メールボム攻撃は、大量のメールで受信・処理を飽和させ、正規メールの受信を妨害する攻撃です。単純な大量送信だけでなく、ボットネットによる分散型や、登録フォームを悪用するサブスクリプションボムなど、手口は多様化しています。対策の要点は、スパム対策で入口を絞ることに加え、レート制限・隔離・キュー監視・初動手順の整備によって「可用性」と「重要メール」を守ることです。さらに、SPF/DKIM/DMARCの運用や、担当者の教育、証拠保全の手順化により、二次被害の抑止と復旧の高速化につながります。