2009年12月のハイライト
2009年12月のおもな動きは、スパムメッセージ(迷惑メール)の発信源の推移と、スパムメッセージメールの平均サイズの変化が挙げられる。これまでのスパムメールの発信源は、北米とEMEA(欧州・中東・アフリカ)であった。それに対し、この数カ月では、APJ(アジア太平洋地域および日本)と南米が、発信源のトップになりつつある。最近ではブラジルからのスパムメールの増加が顕著である。北米とEMEA地域を合わせたスパムメッセージの発信量は、2009年11月には50%だったのに比べ、2009年12月は57%となった。
2009年12月のメッセージの平均サイズは、2KBから5KBのサイズのスパムメールが7%増加したのに対し、5KBから10KBのサイズのスパムメールは6%減少となった。添付スパムは、2009年11月が5.28%であったのに対し、2009年12月は平均4.48%に留まり、スパムメールのサイズの変動と一致している。スパムメールのカテゴリを見ると、医療カテゴリと各種製品カテゴリが増加し、スパムメッセージ全体の52%を占めている。
銀行破綻を伝えるスパム
長く続く不況で、米国のFDIC(連邦預金保険公社)は、業績不振の銀行を多数閉鎖した。2009年には、12月中旬までに140の銀行がFDICによって閉鎖された。スパマーにとっては、これもまた絶好のチャンスとみている。もし、自分が口座を保有する銀行の破綻通知が届けられたら、どうするであろうか。判断が鈍りかねない。
 |
図1 銀行の破綻を知らせるスパムメール |
図1の例は、銀行の破綻を通知するスパムメッセージである。誰しも、自分の口座がどうなるか、非常に不安にかられるであろう。その心理を狙うものといってもよい。メッセージ中の「learn how to save money(預金を守る方法を知る)」と書かれた文中のリンクをついクリックしてしまう。すると、Trojan.Pidiefが起動され、PCへの感染を試みる。
このような場合でも、FIDCの公式Webサイトや信頼できるニュースサイトを通じて、銀行が本当に政府の管理下に置かれたのかどうかを確認することが必要であろう。この例が示すように不安を煽り、スパマーは、ユーザーにスパムメッセージをなんとかして読ませようとしているのである。シマンテックでは、このような手法は、2010年も続くであろうと警告をしている。
Amazonのアカウントを使用した医薬品スパム
スパマーは、アンチスパムフィルターを回避するために、各種の「フリーオンライン」サービスを悪用している。具体的には。URLの短縮サービスを使って宛先である真のURLを隠したり、偽のプロフィールを作成してさまざまなソーシャルネットワーキングサイト/ツールでスパムキャンペーンを行ってきた。
シマンテックで確認された、Amazonからの電子メールを装ったスパムメールを紹介しよう。このスパムメッセージでは、実際にスパマーがAmazonのWebサイトにアカウントを作成している点が特徴といえる。これを悪用し、Amazonの電子メールシステムを使ってリンク入りのメッセージを送付した。
 |
図2 Amazonからの電子メールを装ったスパムメール |
ユーザーがメッセージ内のリンクをクリックすると、AmazonのWebサイトに誘導される。
 |
図3 スパムメールから誘導されるAmazonのWebサイト |
ここまでくると、その内容を信じてしまいかねない。
急増するIPアドレスのURLを含むスパム
2009年12月には、乗っ取られたIPアドレスを含むスパムメールが、非常に増加をしていることが確認された。具体的には、乗っ取られたIPアドレスのURLを含むスパムメッセージの量は、2009年11月から3倍以上の増加となった。スパムメッセージ全体を占める割合からすると、この種類のスパム攻撃は微量なものである。しかし、12月には、このIPアドレス(「DottedQuad(ドットで4つに区切った数字)」)のスパムが、大きな割合を占めるケースが確認された。12月24日の午前6時(PST:太平洋標準時刻)には、このスパムメールはスパム全体の25%以上に達した。
シマンテックでは、これらのスパムメールについて調査を行ったところ、これらのスパムメッセージに一貫性があることが判明した。ユーザーをオンライン医薬品サイトに誘導するある特定のスパム攻撃が、乗っ取られたIPアドレスを使用していたのである。
 |
図4 乗っ取られたIPアドレスを使用したスパムメール |
これらのサイトから注文を行ったユーザーは、個人情報が奪われた可能性が高い。