シマンテックは、10月のインテリジェンスレポートを公開した。
10月の全体的な傾向
まずは、全メールに占めるスパムの割合である。9月から10.2%減少し、64.8%(メール1.54通に1通)となった。ここ2カ月ほど、増加傾向にあったが、一気に減少した。その理由については、後ほど紹介する。1位は、79.4%を占めたサウジアラビアとなった。以下、2位がハンガリー(75.3%)、3位がスリランカ(74.0%)となった。発信元は、1位がインドで11.9%、以下、ブラジル(7.9%)、米国(6.6%)と続いている。
 |
図1 スパム分析(レポートより) |
10月のフィッシング活動は0.059%減少し、286.9通に1通の割合(0.35%)となった。スパム同様、増加傾向から一転、減少に転じている。ただし、微減であり、全体的な傾向はそんなに変化がないとみていいだろう。1位は南アフリカで、134.5通に1通の割合となった。2位にイギリス(145.1通に1通)、3位にデンマーク(167.8通に1通)となった。フィッシングサイトの分布は、1位がイギリスで25.8%、以下、米国(20.4%)、オーストラリア(17.5%)ととなった。なりすましに悪用された業種は、銀行(32.7%)、eコマース(31.3%)、情報サービス(28.9%)となり、9月から1位と3位が入れ替わった。
 |
図2 フィッシング分析(レポートより) |
メールトラフィックに占めるメール感染型ウイルスの割合は、229.40通に1通(0.44%)の割合となり、こちらも2か月ぶりの減少となった。1位は、71.4通に1通でドイツとなった。2位は南アフリカ(135.0通に1通)、3位はオーストリア(197.3通に1通)となった。発信元は、1位がイギリスで54.7%、以下、米国(16.4%)、ドイツ(7.8%)と続いている。また、危険なWebサイトへのリンクが含まれているメール感染型マルウェアは23.5%と、9月より1.3%増加している。
 |
図3 マルウェア分析(レポートより) |
10月のスパムが減少した理由
上述の通り、10月のスパムは10.2%の減少となった。図1を見てもわかるように、これまでにない急激な減少となった。シマンテックでは、その分析を行った。まずは、9月と10月の7日平均のスパムレートが図4である。
 |
図4 9月、10月の7日平均のスパムレート |
7日平均では、9月中旬に4,300万件のピークに達している。その後、減少を続け、10月の初めには、もっとも低くなった。その理由であるが、シマンテックでは、Festiボットネットの閉鎖としている。図5は、9月、10月の著名なボットネットの活動状況である。
 |
図5 9月、10月のボットネットの活動状況(赤がFestiボットネット、レポートより) |
10月になり、Festiボットネットの活動がまったく行われていない。その影響が、もっとも顕著に表れたのが、サウジアラビアである。8月にはスパム発信元として、11.7%で2位であったが、10月にはトップ10にすらランクインしていない。スパムレートが2か月連続で10%減少すると、スパム量は約半分になるとのことである。これだけをみれば、非常に喜ばしい結果である。
この傾向は、今後も続くのであろうか?この点について、シマンテックでは、以前もこのような減少が発生した際には、他のボットネットがすぐさま登場してその代わりを担う、「死んだ」ボットネットがわずかに異なる性質で生まれ変わる、といった現象が見られたとのことだ。具体例では、1年前にマイクロソフトが自社のボットネット掃討作戦を開始してボットネットを標的としたところ、現在のKelihosボットネットは3回も生まれ変わったと指摘されている。今回も新たなボットネットが登場する可能性がある。しかし、シマンテックでは、ボットネットを根絶する努力を続けていくとのことである。
進化するランサムウェア
ランサムウェアといえば、PCをロックしたり、ファイルを暗号化し、その解除の身代金を要求するものである。そいて、ロック画面にはポルノ画像を使うなどして、身代金を奪取しようとした。2012年には、コンテンツをローカライズし、たとえば法執行機関からと称するランサムウェアが登場した。このランサムウェアのロック画面には、違法なオンライン活動で捕まったとユーザーに通知するためにソーシャルエンジニアリングを使用する。実際には、ユーザーに対し「警察を介入させる」や「法的措置を執る」と脅す。その背景には、米国では、成人の約46%が合法的手段以外で著作権素材を獲得していた。18から29歳のグループの場合、このような行動比率は70%にも上る。そこを、攻撃者は狙っているのである。
 |
図6 ランサムウェアのロック画面例(レポートより) |
このロック画面は、オーディオファイルの再生も繰り返す。その内容は、次の通りである。
FBI warning: Your computer is blocked for violation of federal law!(FBIより警告:ご使用のコンピュータは連邦法に違反しているためブロックされています!)
いかにして、ユーザーに身代金を振り込ませるか?ここに攻撃者の工夫がみてとれる。よろ巧みな方法を使い、金銭的な利益を上げようとしている姿が浮かぶ。シマンテックでは、かつて偽のウイルス対策に使用され、ランサムウェアのコンテキストの使用に採用されたクロスオーバー技術なども使われるだろうと予測している。
