今月の傾向

まずは、今月は画期的な報告がなされている。11月上旬、ボットネットの指令サーバーの多くをホスティングしていたとされる米国のインターネットサービスプロバイダ(ISP)であるMcColoが閉鎖した。結果として、一時的にではあるが、スパムメール(迷惑メール)が激減した(図1)。

図1 スパムメールの比率(シマンテックスパムレポート2008年12月より引用)

以前より、McColo.comでは大量のスパムメールを配信するボットネット、およびそれらの指令サーバーを複数ホスティングしていると苦情が寄せられていた。閉鎖の前後24時間の比較では、スパムメールの量が65%減少した。たった1社のISPの閉鎖が、スパムメールの流通量に与える影響の大きさが見てとれる。McColo.comがホスティングしていたサーバーには、「Rustock」や「Srizbi」などのボットネットがあったとのことである。

しかし、これは一時的な傾向で、11月下旬にはスパムメールの量は通常の水準に戻っているとのことである。特に増加が見られたスパムメールは、主にURLの中に複数のドメインを含む「Canadian Pharmacy(カナダ薬局)」からの短いHTMLメッセージのものであった。これらのURLの多くには、中国のトップレベルドメイン(.cn)が含まれていた。そしてすべてのネームサーバーは、ドメインと同じIPドレスか、中国内のIPアドレスにホスティングされていた。McColo.comが使えなくなっても、スパマーらは、すぐさま、新たなボットネットを利用していることがうかがえる。

スパムメールの増加とともに、マルウェアの急増も観測されている。これは、スパマーがバイナリメールを配信するためにマルウェアが必要で、将来はピアツーピア型ボットが増加するであろうと予想している。

「どこに行ってもクリスマスらしくなってきた」

年末のホリデーシーズンに向け、偽ブランド品などを宣伝するスパムメールが増加している。10月から11月にかけて観測されたホリデースパムのトップ10は次の通りである。

表1 ホリデースパムのトップ10

米国では、クリスマス時期の売上は、年間でもっとも期待できるものだ。しかし、金融危機から世界不況に至り、小売業者らは、積極的に「大特価」や「特売品」などの語句を多用し、消費者の購買意欲を掻き立てようとしている。その状況にスパマーもまた便乗しているのである。「出費を抑える」というテーマで消費者の注目を集めようとする傾向がある。また、アンチスパムフィルタ対策として、スパムメールの件名を微妙に変更させる手口も用いられている。次のようなものである。

件名：Amazing Christmas Deals
件名：Amazing Christmas Specials

また、画像スパムもクリスマス商戦と呼応するかのように復活してきている。図2はその一例である。

図2 画像スパムの一例

画像スパムは、2007年にスパムメール全体の52%を占めたことがあった。まだその水準にまでは達してはいないが、11月には最大で全体の10%を観測した。さらに画像のサイズを分析したところ、13.3%が100KB以上、57.3%が10～50KBと、比較的容量の大きい画像を使用したスパムメールが見られる。対策の取られていないメールシステムには、一層の注意が必要だろう。

インドのムンバイ同時多発テロ事件を悪用したスパムメール

インドのムンバイでは、11月に過去最悪のテロ攻撃が発生した。この事件に関連したスパムメールとして、医薬品の販売を目的としたスパムメールがあった。

世界的な事件の悪用はスパマーの常套手段となっており、これまでも多数発見されている。今年初めにもミャンマーのサイクロン災害、中国大地震などをキーワードに悪用したスパムメールがあった。このようなキーワードが含まれるメール受信した場合には、中に含まれるURLなどのリンクを決してクリックしないことである。

また、上記のほかにも、11月には引き続き、米大統領選関連のスパムメールなどが観測された。また、以下のようなスパムメールも観測された。

• IRS(米国税庁)を騙り税金還付を装うスパムメール
• 在宅勤務の求人募集を装いマネーロンダリングを誘う多言語のスパムメール
• 商品や賞を宣伝し、オンラインカジノへ誘うスパムメール

クリスマスと並び、この時期にはカジノなどへ誘うスパムが増加傾向にある。くれぐれも注意をしてほしい。