概要
Proofpointのリサーチャーは、8月に選挙関連のスパム、特に「トランプ」または「クリントン」、またはその両方が含まれる件名のクエリにより、調査を行いました。 選挙が1週間後に迫った現在、弊社ではメッセージの統計を見直し、2つの異なる時期で顕著に見られる、いくつかの相違点に気付きました。 こうした相違点は、アメリカ大統領選挙戦が終盤を迎えるにつれ、スパマーの行動が変化してきていることを示しています:
- 8月、9月に全体的な量が激減した後、選挙が近づくにつれ、10月になって回復しました(図1)。
- 両候補の名前が取り上げられる数は、選挙関連のスパム全体に占める割合で言うと、7月の落ち込み以来6%近く増加しました。 クリントンまたは両候補に言及したメールは、7月には選挙関連スパム全体に占める割合が4%未満でしたが、現在は約17%となっています。
- しかし、トランプをテーマとしたスパムは依然として支配的です。10月には、最も落ち込んだ時で、トランプに言及したスパムはクリントン関連のスパムを9倍近く上回っていました。 ただし、トランプ関連のスパムがクリントン関連のスパムを45対1の割合で上回っていた7月に比較すると、5分の1に縮小した形になります。
- 選挙関連のスパムの急増は、大統領候補および副大統領候補の討論会といった、注目を集める選挙関連のイベントと対応する形で起きていました。
図1: 6月~10月の候補者別スパム全体量
分析
6月と7月に弊社顧客ベース全体で検知されたスパムメールの件名で、「クリントン」または「トランプ」の言及についてスキャンを行った際、選挙関連スパムの圧倒的大多数が「トランプ」の文字列だけを取り上げていました。 例えば、「トランプは彼の最新の声明で選挙に勝ったことになるか?」という件名は、弊社の分析でトランプ関連のメッセージとみなされるのに対し、「最新の声明でトランプはクリントンを破った」というのは両候補関連に分類されます。
特に6月には、トランプ関連の大規模なキャンペーンが2つ行われ、トランプだけが言及されていたものが選挙関連スパム全体の94%を超えていました。 この割合は7月には96%まで上昇しました。 先月の選挙関連スパム量で、両候補に言及したものは約8%でした。 これに対し、7月に記録した最低値はわずか1.8%でした。 クリントン関連のスパムは毎月増加しています。選挙関連スパム全体の0.5%未満から、10月には9%を超えるまでに上昇しました。 こうした相関関係の概要を図2に示しました。
図2: トランプ、クリントン、または両候補の選挙関連スパム全体に占める割合(%)
トランプ関連の大規模なキャンペーンが2つ行われた6月は例外的である一方、トランプ関連のスパムのクリントンまたは両候補に関連したスパムに対する割合は、過去数か月で減少しています(図3)。 10月には、最も落ち込んだ時で、トランプ関連のスパムは依然としてクリントン関連のものを9倍近く上回っていました。 しかしこれは、トランプ関連のスパムがクリントン関連のスパムを45対1で上回っていた7月に比較すると、5分の1に減少しています。
図3: トランプのみに言及したスパムの、クリントンのみ、または両候補に言及したスパムに対する比率は、選挙戦が進むにつれ、全体的に低下しました。
また、先月、選挙戦の大きなイベントに基づいた傾向と呼べる可能性のある変化も確認しました。 例えば、第一回大統領候補討論会前の5日間は、クリントン、トランプともに関連メールの量が着実に増加しました。 討論会などのイベントとスパム量の変化を直接的に結びつけることは不可能だとしても、スパム急増と、有権者の関心と注目が高まる特定のイベントとの間には重要な相関関係があるように見えます。 有権者の関心が高まると、結果的に、スパマーにとっては人的要因や、受信者が選挙関連のメールを開こうとする意思に付け込む機会が増えます。
このような関連がある可能性を考慮に入れ、弊社では7月からのすべてのスパムデータを再調査し、スパム量の急増と同時期に起こっているイベントを探しました。 こうしたイベントの例を図4に示しました。
図4: 7月~10月の候補者別スパム量の動向
長期的な動向が示すように、候補者名を利用したメッセージ量の急増は、討論会などの選挙の重要なイベントや報道、特にトランプの選挙戦に関連したものと相関関係がありました。 同様に、クリントンに言及したスパムの増加も、選挙が近づき、注目度や世論調査結果が向上してきているのにほぼ対応しています。
メール
前回の分析で示したとおり、弊社では、図解付きおよびテキストベース両方のメールのサンプルを確認しました。 その大半に、選挙とは関連のない次のようなリンクが含まれていました:
- 在宅勤務サイト
- 健康サプリメントのサイト
- 割引特典のページ
- 紹介によって収入を得るアフィリエイトページ
図5: 在宅勤務サイトに誘導する偽のForbesの記事
図6: 米国で配布されていたバージョンでは、この記事が「ブレインピル(脳に効くサプリメント錠剤)」へと誘導していたのに対し、英国版では、金銭を詐取する企みにつながっていました。
他には、選挙関連または候補者関連の記事およびリンクが含まれているものもありました。 こうしたものの例は、以下、図7に示しました。
図7: トランプ支持の資料を取り上げたリンクとビデオ、および電子書籍(「Surviving the Final Bubble」)購入リンク
結論
スパムのアクターが、メールを使用した活動の効果を高めるために動向やイベントを追っていることを弊社は理解しています。 選挙は、これが時間の経過とともに、また、選挙期間中の複数のイベントに関連してどう変化するか、観察する機会をたまたま与えてくれているに過ぎません。 候補者が持つ相対的なブランド力も、スパム量の増加と相関関係があるように見えます。クリントンの世論調査結果がトランプの結果との関連で向上するにつれ、クリントンまたは両候補者に言及したメッセージの割合も増えました。
この選挙戦の激しさが、スパムのアクターに説得力のあるルアーを作成する機会を豊富に与えています。こうしたルアーは、知識を持つユーザーさえもだまし、メールを開いてリンクをクリックさせてしまいます。 しかし、11月8日の開票日までのクリックベイトがいかに魅力的であっても、通常使用されるメールウイルス予防策のルールはすべて適用できます。