シマンテックは、1月のスパムメールの状況などをまとめた「シマンテックインテリジェンスレポート」を公開した。

1月の全体的な傾向

まずは、スパムである。12月まで減少傾向にあったものが1月は増加に転じ、1.3%増の69.0%となった。2009年/2010年と比較すると低いレベルにあるが、今後の動向に注目したい。上位は1位が75.5%のサウジアラビア、2位が75.0%の中国となった。日本のスパムレベルは65.6%となり、比較的低いレベルに留まった。

図1 スパム分析(レポートより)

1月のフィッシング活動は0.06%増加し、370.0通あたり1通の割合となった。月ごとの変動はあるものの、その変化は小さく全体的な推移も2011年と似たような状況だ。もっとも大きな割合となったのは、オランダの62.6通あたり1通。2位の英国が179.4通あたり1通であるのと比較しても、突出した結果となっているのがわかる。日本では5,692通に1通となっており、低い割合が続いている。

1月のフィッシングサイトの数は15.9%の減少となった。自動生成ツールによって作成されたフィッシングサイトがそのうちの42.6%を占め、それらには有名なソーシャルネットワーキングWebサイトやソーシャルネットワーキングアプリケーションに対する攻撃が含まれていた。

図2 フィッシング分析(レポートより)

メールトラフィック全体に占めるメール感染型ウイルスの割合は、295.0通に1通の割合となり、12月と比較すると0.02%の減少となった。日本では1,573通に1通。このうち、悪質なWebサイトへのリンクが張られたメール感染型マルウェアが全体の29.0％を占めていた。

図3 マルウェア分析(レポートより)

前回のレポートで、Webベースのマルウェアの脅威が指摘されていたが、1月もその傾向が継続している。シマンテックでは、マルウェアやその他の不要と思われるプログラム(スパイウェアやアドウェアなど)をホストするWebサイトを1日に平均2,102件特定したという。また、不適切なWebサイトの利用に関するポリシーリスクを法人向けのポリシーベースのフィルタリングから調査した結果、もっとも頻発したものは広告とポップアップとなり、不正広告や広告を悪用したリスクが高まっているとのことである。

スパマーは休日やイベントを悪用する

これまでに長期休暇や世界的なイベントがスパマーに悪用されてきたことは、ご存じかと思う。シマンテックでは、2011年から2012年の新年にかけてスパマーがどのような行動をしたかを調査した。

よく見られる手口に、スパムメールの本文に不正なWebサーバーへ誘導するリンク仕込むものがある。しかし同社の調査によると、スパマーは正規のWebサーバーを危殆化し、簡単なPHPスクリプトをしのばせていた。改ざんの発見を隠す(もしくは遅らせる)ために、主なWebコンテンツにはまったく手を付けていなかったという。

PHPスクリプトは「HappyNewYear.php」「new-year-link.php」「new-year.link.php」といった名前であった。これらのPHPスクリプトは、これまでも幾度となく使われたスパム医薬品Webサイトへとリダイレクトするものであった。図4は実際に送られたスパムメール例で、このメッセージを分析するとスパマーの動機がより明確になる。

図4 2012年の新年にスパマーが送ったスパムメール(レポートより)

ここで使われているのはソーシャルエンジニアリング技法である。URL内の「friend_id」パラメータから、リンク先がいかにもソーシャルネットワーキングWebサイトであると思わせている。さらに年末年始には、多くのWebサイトやブログがこの1年のさまざまな「トップ10」リストや新しい年の予測を発表するため、「new year」というフレーズを含むURLは、それらに関連するWebサイトであるかのように思わせる。

このように、ソーシャルエンジニアリング技法を使うことで、ユーザーがスパムリンクをクリックする可能性が高まるのである。実際には、よく知られた「My Canadian Pharmacy」Webサイトに(危殆化したPCを経由して)リダイレクトされる(図5)。

図5 New YearスパムのURLからリダイレクトされるWebサイト例(レポートより)

シマンテックでは、10,000を超えるドメインが「new year link」リダイレクトスクリプトによって危殆化したことを確認している。「new-year-link.php」のような名前のファイルの存在はWebサーバーが改ざんされた可能性を示唆しており、速やかに対応すべきである。

今後予想されるイベント

冒頭でふれたように、こういった手口は常套的なものだ。シマンテックでは、今後悪用される可能性が高いイベントとして、以下を挙げていた。

1. 1月23日(中国の新年「春節」)
2. バレンタインデー
3. UEFA Euro 2012サッカー欧州選手権

バレンタインデーの悪用では、この日のロマンチックな意味合いを利用してED関連の医薬品を宣伝したり、マルウェアの作成者が「片思いの人」を騙ってユーザーがうっかりマルウェアをインストールするよう仕向けたりする危険性がある。スポーツイベントも、サッカー欧州選手権に続き、ロンドンオリンピックが悪用される可能性がある。シマンテックではすでに、419の詐欺メッセージで「オリンピック」という言葉が多数使われている事実を検知している。

図6 スポーツイベントに関係する語句を含む419詐欺メッセージ

具体的には、「London 2012 Olympic Games.doc」「LONDON 2012 OLYMPIC GAMES RAFFLE PROGRAM.doc」「LONDON OLYMPICS LOTTERY WINNER!.doc」などの添付ファイルが含まれていたとのことである。ビッグイベントとソーシャルエンジニアリング技法を組み合わせた手口は今後も予想されるので、引き続き注意を怠らず、セキュリティ対策を十分に高めてほしい。