8月のスパムメール(迷惑メール)の水準は、全世界で配信された電子メール全体の約87%を占めた。医療関連のスパムは今月も減少し、平均6.73%にとどまった。一方、インターネット関連のスパムが増加し、全体の29%以上を占めている。また、米国の祝日、労働者の日(Labor Day)に関連したスパムに続き、ハロウィーンとクリスマスを悪用したホリデースパムが早くも出現しているとのことだ。

ホリデースパムキャンペーンが本格的に始動

2008年、米国では、ホリデーシーズンの売上は前年比で2~4%減少した。2009年もホリデーシーズンの販売状況は、厳しいものが予測されている。新学期キャンペーンが終了し、次の商戦として、ホリデーシーズンに向けた対策を準備している。そんな中、スパマーが同じ時期にハロウィーンやクリスマスのキャンペーンに乗り出した。8月に確認されたホリデーシーズンに関連したスパムの件名は次のようなものであった。

  • Labor Day Sale(労働者の日セール)
  • It's new improved crazy Christmas(新しくなったクレイジークリスマス)
  • Halloween Already? Yes! Special Florida family coupons from Extreme Halloween(もうハロウィーンかって?そう!「エクストリームハロウィーン」から特別なフロリダファミリークーポン)

図1 Labor Day(労働者の日)を騙るスパム

URLをめぐる詐称

スパマーはコードの難読化、信頼できるブランドの悪用など、さまざまな手法を使ってスパム対策フィルタから逃れようとしている。最近、発見されたもので、ホモグラフ(同形異義語)詐称を使った攻撃がある。この手口はドメイン名を信頼性の高いブランドのドメイン名に似せるものだ。まずは用語解説である。

IDN(国際化ドメイン名)とは、非ASCII文字を含むドメイン名である。こうしたドメイン名には、アラビア文字、漢字、デーヴァナーガリー文字など非ラテン文字が含まれることがある。たとえば「ёxample.com」には、キリル文字の「ё」が使用されている。Punycodeとは、IDNを変換するために設計された構文で非ASCII部分のドメイン名をASCII文字セットとして表すことができる。これは固有かつ可逆的な文字セットなので、逆変換を行うことも可能となる。Punycodeで変換された名前は「xn--」という接頭辞が付く。たえば「ёxample.com」のPunycodeは、「http://www.xn--xample-ouf.com/」となる。

ホモグラフ(同形異義語)詐称は、多言語なコンピュータシステムで、異なる文字が区別できないほど紛らわしい字体を持つ性質を悪用した文字の詐称である。たとえば「ёxample.com(ロシア語)」というドメインは、「example.com(ラテン文字)」によく似ている。

図2 URLを詐称するスパム

図2は無料のお金儲けキットを勧めるという内容のスパムである。メッセージには、個人情報を採取するための登録フォームへとユーザーを誘導するURLがある(青字)。実際に、このURLのドメインはIDNで書かれている。詐称されたこのドメイン、見た目は「google.com」にそっくりである。しかし、ステータスバーに表示されたPunycodeは、「xn--」で始まる「google.com」とはまったく異なるURLである。図3は、「google.com」ドメインについて考えられるさまざまな詐称バリエーションである。注意しないと、本物のラテン文字のドメインと間違える可能性が高い。

図3 「google.com」の詐称バリエーション

スパマーが信頼性の高いブランドの陰に隠れて、受信者を騙そうとする手法は、これまでもよく使われたものだ。これを防ぐには、ステータスバーで実際のURLを確認するか、URLを手動で入力することである。メールに書かれたリンクを信用して、安易にクリックしないことである。シマンテックでは、ほんの少しの時間を使い簡単な確認をするだけで、個人情報を危険にさらさずに済むと注意する。

スパムメールから、仕事、従業員、顧客を守るチェックリスト

シマンテックでは、スパムメールの被害が守るチェックリストを紹介している。まず、「すべきこと」である。

  • 必要としなくなったメールマガジンは購読を停止する。メールマガジン以外に登録した項目も、配信を希望しない場合は購読を停止する。
  • 電子メール登録を必要とするWebサービスは、正当なサイトかよく吟味してから利用する。
  • 自分の電子メールを極力インターネット上に公開しない。
  • メーリングリストに登録する際、アドレスの使い分け、使い捨てのアドレスを利用するなど、さまざまな選択肢を検討する。
  • スパムを報告する機能がある場合は、フィルタを回避したスパムを報告する。
  • すべてのスパムを削除する。
  • 電子メールまたはインスタントメッセージ内の疑わしいリンクは、詐称されたWebサイトへのリンクである可能性があるので、容易にクリックしない。メッセージ内のリンクを信用せずに、Webアドレスを直接ブラウザに入力する。
  • OSがつねに最新の状態であることを確認し、総合的なセキュリティスイートを使用する。
  • 組織全体のフィルタリングを処理するために、信頼できるスパム対策ソリューションの導入を検討する。
  • シマンテックのスパムレポートサイトを確認し、つねに最新のスパム傾向を把握する。
    • そして、「避けるべきこと」こととして以下をあげる。
  • 不明な送信人から届いた電子メールの添付ファイルを開く(添付ファイルにはウイルスの可能性が高い)。
  • スパムに返信する(通常、送信者の電子メールアドレスは偽造されているので、返信するとさらに多くのスパムが送られてくる可能性がある)。
  • 個人情報や財務情報、パスワードなどを尋ねるメッセージのフォームに入力する(信頼できる企業が電子メールで個人情報を求めることはほとんどない。不安な場合は、電話で直接問い合わせる)。
  • スパムメッセージの製品やサービスを購入する。
  • スパムメッセージを開く。
  • 電子メールで受け取ったウイルス警告を転送する。