11月の全体的な傾向

まずもって注目したいのは、11月のスパム総量である。例年ならば、年末年始、クリスマスなどの時期を狙ったスパム攻撃が活発化する。しかし、11月はさらなる減少となった。同じく、スパムメールの占める割合も減少している。

メッセージ全体に対するスパムの割合は、10月は86.61%、11月は84.31%となった。過去、McColo閉鎖によって一時的にスパム割合は大きく減った。しかし、それもつかの間で、2009年1月以降は、着実に回復傾向にあった。ところが、11月のスパムの割合は最低値となった。フィッシングに関しては、スパムと対照的に活発な動きをみせた。まず攻撃の総量は、37%増加。

おもな理由として、シマンテックは、自動化ツールキットの攻撃と一意のフィッシングWebサイトが増えたとしている。特に自動化ツールキットで作成されたフィッシングWebサイトは、約90%もの増加となった。そして、その多くが利用者の多い、米国の銀行になりすましていた。

それ以外では、一意のURLは18%の増加、IPドメイン(http://255.255.255.255などのドメイン)を持つフィッシングWebサイトは約41%の増加となった。Webホスティングサービスは11月にはフィッシング全体の1%を占め、先月比で15%の増加となった。言語別では、英語以外のフィッシングサイト数は10%増加し、11月はフランス語とポルトガル語が上位を占めた。その理由は、ブラジルにおいてポルトガル語のソーシャルネットワーキングサイトを騙る攻撃が増加したことが原因であった。

スパム量に何が起きているのか

冒頭でもふれたように、8月以降とスパムの減少が続いている(図2)。

日単位の平均スパム量は先月比17.4%の減少であった。8月と比較すると、スパム量は56%以上も減っている。これは、ゼウスリングの逮捕とspamit.comの閉鎖に加え、10月下旬のBredolabボットネットの閉鎖によるところが大きい。そして、12月上旬にはMega‐Dボットネットの作者がFBIに逮捕された。シマンテックでは、2010年末までこの傾向は続くと予測する。本来、この時期はスパムが増加する。図3は、2009年9月から12月におけるスパム全体の割合を示したものだ。

図3では、11月から12月にかけてスパムの割合が増加していることがわかる。2010年の同時期(12月のデータは一部しかないが)には、減少傾向がはっきりと示されている(図4)。FBIによる逮捕などで、その状況は大きく変化したと見られる。

2011年のスパムに関する予測

シマンテックは、2011年のスパムやフィッシングの脅威の動向に関する予測を行った。大きなものとして、次の3つあげている。

時事問題やニュースを件名に利用

2010年には、地震などの天災、ワールドカップなどの世界的なイベント、自動車リコールなどの社会問題、メキシコ湾原油流出事故などが関心を集めた。スパマーは、実際のニュースや出来事に加え、今後も人々の関心を引くために偽のニュースや出来事を利用するだろう。

ソーシャルネットワークの悪用

現在、ソーシャルネットワークは、人気が高いサービスである。スパマーやフィッシャーは人気のあるそれらのサイトを悪用して、IDや個人情報の盗用を目論む独自の攻撃を仕掛けるだろう。

スパム量の減少、標的の絞り込み

スパマーによる詐欺やフィッシングの策略がより巧妙になっている。そして、標的を絞り込んだ攻撃は、2011年も継続するだろう。

その他の動向予測としては、以下をあげている。

スパマーは過去の繁栄を取り戻そうと懸命になる

法的措置により、スパム総量は明確に減少傾向にある。シマンテックの予測では、スパム量の回復は、McColo閉鎖に伴うスパム量の減少時以降よりも緩やかなペースになると見ている。一方で、ユーザーのセキュリティ意識の向上、そして、関連当局の対策が実効をあげていることなどから、簡単には、かつてのようなスパム量には容易に復活しないと予測する。

マルウェアスパムの年

上述したFBIによる検挙で、スパマーは保持していた感染済みPCの多くを失っている。当然のことながら、失ったPC取り返そうとスパマーは行動するだろう。そのために、より多くのマルウェアメッセージ攻撃を仕掛けると思われる。

インドネシアのFacebookユーザーを標的とした偽のセキュリティ通知

2011年の予測でもふれたように、ソーシャルネットワークの悪用した攻撃は今後も継続するだろう。実際に、最近悪用された事例を紹介しよう。ソーシャルネットワークの最大手Facebookを騙るものだ。Facebookのセキュリティシステムからの通知と称するフィッシングWebサイトである。

インドネシアのFacebookユーザーを標的としたものだ。タイトルには「cancellation of blocking accounts(規制中のアカウントの取り消し)」とあり、"ページにはそのユーザーのアカウントがセキュリティ規則を侵害していることが他のユーザーから報告された"旨が書かれ、24時間以内にログイン情報(IDやパスワード等)を入力してIDを確認せよと求める。

入力しない場合、アカウントが削除されると脅しをかける。この結果、フィッシャーに個人情報が、盗まれてしまう。セキュリティシステムどころか、ユーザーのログイン情報を盗み取ることが目的であったのだ。実際にログイン情報を入力しても、入力した情報は無効とのエラーが表示される。再度ログイン情報を入力すると、Facebookの正規のWebサイトにリダイレクトされる。このフィッシングサイトは、無料のWebホスティングサイトでホストされていた。