シマンテックは、7月のインテリジェンスレポートを公開している。レポートでは、7月に開催された五輪を狙った攻撃が多発ししていたことなども紹介しており、やはり世界的なイベントなどでは、セキュリティ的に注意しなければならないことを示している。

7月の全体的な傾向

まずは、全メールに占めるスパムの割合である。6月から0.8%増加し、67.6%となった。ここ数か月は横ばいといった感じである。1位は、79.0%を占めたサウジアラビアとなった。以下、2位がハンガリー(76.2%)、3位がオマーン(72.8%)となった。日本のスパムレベルは66.6%となり、比較的、低いレベルが続いている。

図1 スパム分析(レポートより)

6月のフィッシング活動は0.003%減少し、475.3通に1通の割合となった。こちらも最近では、大きな変化が見られない。1位はオランダで、94.4通に1通の割合となった。2位に南アフリカ(171.2通に1通)、3位にカナダ(244.9通に1通)となった。1位のオランダの比率がやや高い数字となっている。日本では、7448.8通に1通となり、低いレベルとなった。

図2 フィッシング分析(レポートより)

メールトラフィックに占めるメール感染型ウイルスの割合は、340.9通に1通の割合となり、こちらも全体的に減少傾向にある。日本では、2038.7通に1通であった。悪質なWebサイトへのリンクが含まれたメール感染型マルウェアが26.5%となり、6月より増加がみられた。

図3 マルウェア分析(レポートより)

五輪を悪用した攻撃が多発

世界的なイベントは、攻撃者にとって格好の攻撃材料となる。ロンドン五輪もその例にもれず、さまざまな攻撃が行われた。シマンテックでは、五輪前後の攻撃の分析を行った。

図4 リンピック関連のスパムおよび詐欺の推移(レポートより)

グラフのように、5月の下旬から五輪が開催された7月下旬にかけて、ほぼ2倍となっている。このデータからも、五輪が攻撃者に狙われたことがわかる。以下は、具体的な攻撃例を紹介しよう。まずは、Twitterである。

図5 悪質なコンテンツへとリンクするツイート(レポートより)

このツイートは、Twitterボットによって生成されたものである。内容的には、あいまいなものが多いとのことだ。また、特徴として、フォロワーがいないことがほとんどである(防御の対策にもつながるので、覚えておきたい)。短縮URLを使い、危険なサイトへ誘導する。Twitterでは、このような危険なアカウントが、検知され次第、停止などの措置をとっている。次は、YouTubeを真似た偽の動画サイトへ誘導するものである。

図6 偽の動画Webサイト(レポートより)

この攻撃では、まず、ドーピング疑惑に関するスパムメールを送信する。このメールには偽の動画サイトへのリンクが含まれている。このサイトでは、ビデオを再生する代わりに、Flash Playerの新しいバージョンをインストールするようユーザーに指示する。しかし、トロイの木馬に感染してしまう。さらに、多くの悪質なドメインと通信して、マルウェアをさらにダウンロードしようとする。Android端末も狙われている。

図7 五輪をテーマにしたゲーム(レポートより)

このゲームは、五輪スポーツを宣伝するもので人気の高いものだ。このゲームとトロイの木馬が再パッケージ化され、ロシアのAndroidマーケットで配布された。トロイの木馬はAndroid.Opfakeで、感染すると有料のSMSメッセージを送信する。結果として、攻撃者の利益となる。五輪を悪用した、フィッシング詐欺サイトも報告されている。

図8 五輪をテーマにしたフィッシング詐欺(レポートより)

有名なMasterCardを騙るフィッシング詐欺サイトである。ページには、以下のような偽のキャンペーンが展開されていた。

  1. Win Free Trips to the 2012 Summer Olympics in London!(夏のロンドン五輪行き旅行が当たる!)
  2. Participate and win laptops, cameras and many great prizes.(参加するとノートPCやカメラなどの素敵な賞品を進呈)
  3. MasterCard and you in the Olympic Games!(MasterCardと一緒に五輪へ!)

そして、常套手段であるが、ロンドン五輪のロゴをページの中央に配置している。さらに、五輪に関連する画像、ロンドン五輪スタジアム、ウェンブリースタジアム、ノースグリニッジアリーナ、ロンドン五輪を宣伝するロンドン地下鉄などで本物であるかのように見せている。

ユーザーは[Participate now(今すぐ参加する)]というボタンをクリックしてキャンペーンに参加するように促されていた。しかし、これをクリックすると、さらなるフィッシングページへとリダイレクトされ、名前、電子メールアドレス、パスワード、生年月日、クレジットカード番号、セキュリティコードなど個人情報が奪取される。これらの情報が入力されると、フィッシング詐欺サイトは次のメッセージを表示する。

your registration was successful! good luck! number of the protocol 1342410522 (あなたの登録を受け付けました。幸運を祈っています。手続番号は1342410522です)

このようなイベントを利用した手口は、今後も予想される。くれぐれも注意したい。