シマンテックは、9月のインテリジェンスレポートを公開した。レポートでは、攻撃者の悪質なWebサーバーを管理するアプリケーションも紹介している。

9月の全体的な傾向

まずは、全メールに占めるスパムの割合である。8月から2.7%増加し、75.0%となった。グラフからもわかる通り、2カ月連続の増加となった。1位は、84.9%を占めたサウジアラビア。以下、2位がスリランカ(81.7%)、3位がスエーデン(79.7%)となった。発信元は、1位がインドで17.4%、以下、イギリス(11.7%)、米国(6.1%)と続いている。

図1 スパム分析(レポートより)

9月のフィッシング活動は0.088%増加し、245.4通に1通の割合となった。年初は比較的低い水準であったが、ここにきて2011年と同じレベルに至った。1位はイギリスで、103.8通に1通の割合となった。2位に南アフリカ(145.2通に1通)、3位にオランダ(168.3通に1通)。フィッシングサイトの分布は、1位が米国で37.3%、以下、イギリス(28.9%)、ニュージーランド(15.9%)と8月と同じとなった。なりすましに悪用された業種は、情報サービス(38.8%)、eコマース(32.1%)、銀行(24.6%)となり、8月から1位と2位が入れ替わった。

図2 フィッシング分析(レポートより)

メールトラフィックに占めるメール感染型ウイルスの割合は、211.0通に1通の割合となり、こちらも2カ月続けての増加となった。引き続き攻撃者の活動が全体的に活発化したことがうかがえる。1位は、103.0通に1通でイギリスとなった。2位はオランダ(121.2通に1通)、3位はオーストリア(149.9通に1通)となった。発信元は、1位がイギリスで53.2%、以下、米国(23.3%)、ブラジル(5.1%)と続いている。また、危険なWebサイトへのリンクが含まれているメール感染型マルウェアが22.2%と、8月より2.6%増加している。こちらへの警戒も必要であろう。

図3 マルウェア分析(レポートより)

攻撃者が使うPHPベースのアプリケーション

図4はシマンテックが検出したカザフスタンの危殆化されたWebサーバー上で動作するPHPのアプリケーションである。

図4 サーバーを管理するためのPHPベースのアプリケーション(レポートより)

このアプリケーションは、攻撃者が保有する危険なWebサーバーを管理するためのものである。画面の上には、ディスクの空き容量、Linuxのバージョン、システム情報、などが表示されている。それ以外にもファイル作成、ファイルのアップロードなどの機能も備わっている。また、管理用のコンソールなどもあるとのことだ。それで足りなければ、任意のポートを使い、サーバーをセットアップするオプションも用意されている。異なるインターフェイスでは、サーバーにインストールされたコンパイラやダウンロードツール(cURL、wgetなど)を一覧で表示する機能もある。このように、攻撃者も効率的にWebサーバーを管理し、そこからスパムメールを送信したり、危険なWebページの作成や設定を行っているのである。攻撃者に管理されるサーバーは、多くの場合、正規にホスティングされたサーバーであるとのことだ。さらに、このサーバーには、非常に多くの不明瞭化されたPHPファイルが検出された。

図5 不明瞭化されたPHPファイル(レポートより)

これらのファイルの役割は、バックドアとして任意のファイルをサーバーにダウンロードするためとのことである。PHPファイル以外にも、静的なHTMLファイルも多数配置されていた。それらは、さらにスパムWebサイトへと誘導する。図6は、医薬品のスパムWebサイトである。

図6 医薬品のスパムWebサイト(レポートより)

また、ポルノサイトなども存在していた(図7)。

図7 ポルノのスパムWebサイト(レポートより)

これらのサイトには、不明瞭化されたJavaScriptが含まれるページが存在している。

図8 不明瞭化されたJavaScript

このJavaScriptが実行されると、さらに悪質なページへとリダイレクトされる。シマンテックでは、攻撃者らがスパムリンクと悪質リンクの両方を扱っている点に注目している。その理由であるが、まず攻撃者にとって、PCの危殆化はスパムよりも利益になると判断しているとのことだ。さらに、危殆化したPCでスパムを送信するボットネットを構成し、より多くのPCの感染を目標としていると推察されるとのことだ。