メールボムとは？ 10分でわかりやすく解説

メールボムとは、短時間に大量のメールを送り付けて、受信者の処理を飽和させる攻撃です。狙いはメールそのものの破壊ではなく、可用性を落として、正規メールを埋もれさせることにあります。代表、問い合わせ、請求、採用のような外部公開アドレスが標的になりやすく、受信遅延、見落とし、隔離領域の増加、メールサーバーやゲートウェイの高負荷を招きます。さらに、受信箱を混乱させた裏で、不正ログイン通知や決済通知を見えにくくする目くらましとして使われることもあります。

メールボムとは何か

メールボムは、悪意ある第三者が大量のメールを送り付け、受信・検査・振り分け・保存の各処理を詰まらせる攻撃です。単純に通数を増やす手口もあれば、添付ファイルや本文を使ってゲートウェイの検査を重くする手口もあります。結果として起こるのは、メールボックス満杯だけではありません。キュー滞留、隔離急増、通知の見落とし、担当者の対応遅れまで含めて被害になります。

何を狙う攻撃か

1. 正規メールを埋もれさせ、受信や確認を遅らせる
2. スパム判定、ウイルススキャン、添付解析などの処理を詰まらせる
3. 担当者の確認作業を逼迫させ、顧客対応や社内連絡を止める
4. 別の不正行為の通知を見えにくくする

被害が広がりやすい宛先

特に狙われやすいのは、Webサイトや請求書、契約書、採用ページに掲載している公開アドレスです。代表窓口のように複数部門の起点になっているアドレスが詰まると、影響は一気に広がります。問い合わせ用と請求書受付用を同じ受信箱で処理している場合は、1つの攻撃で複数の業務が同時に詰まりやすくなります。

メールボムで起きる主な支障

メールボムの主な種類

結果だけ見ると「大量のメールが届く」で同じですが、発生源が違えば打ち手も変わります。どの型かを切り分けると、遮断、隔離、証拠保全の優先順位を決めやすくなります。

単純な大量送信

同一または少数の送信元から大量送信する最も基本的な手口です。送信元IPやドメインに偏りがあるときは、接続制限や一時遮断が効きやすくなります。ただし、分散送信に切り替わると単純なブロックでは追い付きません。

重い検査処理を狙う型

通数だけでなく、添付の展開、本文解析、URL検査などを意図的に重くする型です。巨大添付、圧縮ファイル、多数のURLを含むメールは、通数が少なくてもゲートウェイを詰まらせることがあります。受信箱の件数だけ見ていると見逃しやすい型です。

なりすまし併用型

実在企業や自社ドメインに似せた送信元を使い、担当者に「正規の配信かもしれない」と思わせる型です。ここでは、SPF、DKIM、DMARCの検証結果が切り分けの材料になります。ただし、認証が通ったから安全とは限りません。

サブスクリプションボム

多数の登録フォームに標的のメールアドレスを入力し、確認メールやニュースレターを大量に届かせる型です。送信元が正規サービスのため、単純なブラックリストでは止めにくくなります。サイト側でCAPTCHA、ダブルオプトイン、送信回数制限が入っていないと悪用されやすくなります。

分散型メールボム

多数の送信元から分散して届く型です。送信元単位の遮断が効きにくく、急増検知、受信者単位の制御、隔離強化、上流ゲートウェイでの吸収が中心になります。単純な通数制限だけで防ぎ切るのは難しく、平常時の基準値と比較した異常検知がものを言います。

対策の軸は「全部止める」ではなく「詰まらせない」こと

メールボムでは、攻撃メールを完全にゼロにする発想だけでは足りません。受信処理を落とさないこと、重要メールを埋もれさせないこと、復旧を早くすることの3点で設計した方が現実に合います。

入口での制御

• スパム判定とウイルス検査をゲートウェイ側で実施する
• 破棄より隔離を優先し、誤判定時に戻せるようにする
• 添付形式、圧縮ファイル、本文サイズに閾値を設ける
• 受信急増時に一時的に検査ポリシーを引き上げられるようにする

一律破棄は判断が速い一方で、正規メールを失ったときに戻せません。まず隔離し、そこから救済できる構成の方が、業務影響を抑えやすくなります。

過負荷を広げない制御

• 送信元IP単位の接続数・通数制限
• 宛先アドレス単位の受信制限
• 公開アドレス専用のポリシーや別キューの用意
• キュー長、遅延時間、隔離件数の監視とアラート

問い合わせ、採用、請求などの公開アドレスは、一律に同じ受信ポリシーへ入れない方が安全です。業務停止の波及を抑えるには、代表窓口を他の業務窓口から分ける設計が効きます。

なりすまし混入を減らす設定

SPFは、そのドメインから送ってよい送信元ホストをDNSで宣言する仕組みです。DKIMは、メールへ電子署名を付けて、受信側がDNS上の公開鍵で検証する仕組みです。DMARCは、SPFやDKIMの結果を踏まえて、受信側へポリシーとレポート運用を示す仕組みです。これらは偽装を減らし、フィルタ精度を上げる材料になりますが、正規サービスを使うサブスクリプションボムまで単独で止めるものではありません。

重要メールを埋もれさせない設計

• 認証通知、決済通知、監査通知を別チャネルでも受ける
• 代表窓口と重要業務窓口を同じ受信箱に集約しない
• 監視通知はメールだけに頼らず、管理画面やチケットにも残す
• 一括削除前に隔離とログを確認する手順を決める

メールだけが唯一の連絡経路だと、受信箱が混乱した時点で確認不能になります。復旧の速さは、別経路を持っているかどうかで差が出ます。

被害時の初動

攻撃を受けた直後は、全件確認より切り分けを先に進めます。誰が何を止め、どの証跡を残すかが曖昧だと、混乱の中で誤削除や設定ミスが起きやすくなります。

1. 影響範囲を切り分ける

1. 特定アドレスだけか、複数アドレスか、全社かを確認する
2. 受信遅延なのか、不達なのか、基盤高負荷なのかを分ける
3. キュー、CPU、ディスク、隔離件数、ログ量を確認する

2. 流入を抑える

対象宛先への流入を一時的に隔離し、送信元や接続数の制限を引き上げます。代表窓口全体を止める前に、攻撃を受けている宛先だけを絞って制御できると、業務停止を小さくできます。

3. 目くらましを疑う

メールボム単独で終わるとは限りません。不正ログイン通知、送金依頼、決済メール、パスワード変更通知、管理者権限の変更通知を別経路でも確認します。受信箱が荒れているときほど、攻撃者は「通知を見落とす」前提で動きます。

4. 証拠を残す

• メールヘッダー
• SMTP接続ログ
• 配送キューの状況
• 隔離ログと判定結果
• 対象宛先、時間帯、通数、設定変更の記録

被害時にいちばん避けたいのは、証拠を消したあとで法務やベンダーへ相談する流れです。削除より保存を先に置きます。

法的な見方と相談先

メールボムは、迷惑メールの話だけでは終わりません。手口によって、複数の法的論点が重なります。

どの法律が関係し得るか

無断の広告宣伝メールが大量送信された事案では、特定電子メール法の論点が出ます。ただし、メールボム全体をその法律だけで整理できるわけではありません。認証情報の窃取や不正ログインが絡む場合は、不正アクセス禁止法など別の論点も加わります。さらに、メール基盤や業務用PCの機能が妨げられ、業務へ具体的な支障が出た場合は、事実関係によって電子計算機損壊等業務妨害罪が問題になる余地があります。

社内で先に整理する項目

• どのアドレスが攻撃されたか
• 何通程度届いたか
• 受信遅延、不達、見落とし、停止時間がどれだけ出たか
• なりすまし、侵入、認証情報悪用が絡んでいないか
• 外部へ説明が必要な取引先や顧客がいるか

相談先

• 社内の情シス、CSIRT、法務
• メール基盤ベンダー、セキュリティベンダー、MSSP
• 都道府県警察のサイバー事案相談窓口

法的評価は、送信態様、なりすましの有無、侵入の有無、業務影響の大きさで変わります。社内で断定せず、証拠をそろえたうえで専門家へ渡した方が整理しやすくなります。

まとめ

メールボムは、大量のメールで受信と確認を詰まらせる攻撃です。単純な大量送信だけでなく、サブスクリプションボムや分散送信、なりすまし併用型もあり、手口は一つではありません。守るべき対象は「受信箱」だけでなく、業務連絡、認証通知、決済通知、配送キュー、隔離領域まで含むメール基盤全体です。

対処の軸は、入口での隔離、過負荷を広げない制御、重要通知の別経路化、初動手順の固定、証拠保全の5点です。SPF、DKIM、DMARCは土台になりますが、それだけで終わりません。被害を小さくする設計と、攻撃時に迷わず動ける手順の両方をそろえておくと、業務停止と見落としを抑えやすくなります。

メールボムに関するよくある質問