5月の全体的な傾向
メッセージ全体においてスパムメッセージ(迷惑メール)が占める割合は、4月が89.22%であったのに対し、5月は89.81%となった。フィッシング攻撃の総量は、先月比で9%減少した。この減少はフィッシングのあらゆる分野にわたり確認されている。自動化フィッシングツールキットを使って生成されたフィッシングサイトはフィッシング全体の12%を占め、これは5月比で3%の減少となった。
特定のURLに対する攻撃は5月比で10%減少した。約93のWebホスティングサービスが利用され、これはフィッシング全体の11%を占める。これは5月比で6%の増加でした。英語以外のフィッシングサイトは5月とほぼ同数であった。
英語以外のフィッシングサイトのうち、5月はフランス語とイタリア語が上位を占めた。フランス語のフィッシングは主に電子商取引とオンラインバンキング分野、イタリア語の攻撃は主にオンラインバンキング分野で確認された。
そのほかでは、.ruドメインのスパム増加と、EMEAからのスパムが世界中のスパム送信量の半分に迫ろうとしている点に注目したい。あわせて、今月のレポートでは2010年の上半期の傾向を分析する。
ソーシャルネットワークスパム
最近、ソーシャルネットワークのユーザーが急増している。ある有名なソーシャルネットワークは、400万人以上のユーザーが活動中とのことだ。スパマーは、ソーシャルネットワークの特徴や機能を悪用しスパムを送り付ける。
図1の例では、スパマーがソーシャルネットワークからの正式な通知に似せたメッセージを偽造している。ユーザーがこの「important notification(重要なお知らせ)」をクリックしようとすると、別のWebサイトに誘導される。この特定のURLは乗っ取られたドメインの例だが、ここでスパマーは正当なサーバーに無断でアクセスしてHTMLファイルを配置している。
これにより、URL評価に基づくフィルタ処理を回避しているのである。乗っ取られたドメインにあるHTMLファイルがスパム本文を配信する手段となるのと同時に、このスパムはユーザーをもう1つのサイト(オンライン医薬品)に誘導する手口を使っている。上述のHTMLファイルを解析すると、以下の記述がある。
<html><head><script type="text/javascript">window.location="http://[ドメインは編集済み].com";</script></head>
このスパマーの目的は偽の薬品を販売することであったが、そのほかにもユーザーのログイン情報を盗むことを目的とする攻撃が確認された。ユーザーがこうしたメッセージの被害に遭うと、アカウントはスパマーに巧妙に利用され、そこからさらに多くのスパムが送信されるようになる。ユーザーは友人からのメッセージは信用しがちなため、防ぐことが難しく危険である。
この手口は、Melissaウイルスなどの大量メール送信型ワームが、感染したユーザーのOutlookの連絡先リストを使ってスパムを送信した技術と似ている。実際に、ソーシャルネットワークの仕組み悪用したスパム配信手口には以下のようなものがある。
- 偽の招待状
- アカウントの統合
- 写真のタグとコメント
- アプリケーション
- マルウェアの配信
- プライバシー保護
- 偽の調査
いずれもユーザーの心理の隙を巧み狙うものである。
2010年前半:スパムに次ぐスパム
2010年前半に上位を占めたスパムの傾向を振り返ると、スパマーは4つの主要カテゴリーに的を絞っていることがうかがえる。その4つカテゴリーを紹介しよう。
自然災害系スパム
ハイチとチリで起きた悲劇的な地震はすぐにスパマーのターゲットになった。義援金を募る詐欺メールから、マルウェアの配布を試みるフィッシングまで、あらゆるスパムを送りつけるために悪用されたことが確認された(図2)。
図2 自然災害を悪用したスパム |
最新の事件とニュースのスパム
自然災害の以外にも世界的なニュースもスパムのターゲットとなった。大手の自動車製造企業が大量リコールを発表した際には、このニュースに便乗したスパムメッセージが大量に配信された。経済状況もスパムメッセージの種類や内容に影響を与えている。また、厳しい雇用市場を背景に、スパマーは偽の求職サイトを立ち上げ、必死で仕事を探している求職者を誘導しようと試みている。最近ではメキシコ湾の事故や2010年サッカーワールドカップにも便乗している。
ホリデースパム
これもよく見られるスパムであるが、祝休日を利用したスパムである。今年前半では、母の日、聖パトリックの日やその他祝休日に関するスパムを確認された。最近の例では父の日がある。
図4 父の日を悪用したスパム |
ソーシャルネットワーキングスパム
ソーシャルネットワークの急激な成長は、スパマーにとって巨大な潜在的ターゲットになるだけでなく、巧妙なメッセージを配信する手段にもなっている。これらを悪用し、スパマーは少しでも成功率を高めようとしている(その手口の例については上述の「ソーシャルネットワークスパム」を参照)。このようなスパムの傾向は今後も続き、これまでのところスパムの水準は2010年も依然として90%前後で推移している。
最も迷惑なスパム
シマンテックのアナリストが最も迷惑であるとみなしたスパムを紹介しよう。まずは、台湾のアナリストが指摘したロシア発のスパムである。このスパムの問題点は2点にある。1点めは、メッセージの件名が非常に一般的なものであること、2点目は、誘い込む手口として、URLではなく難読化した電話番号を使用していることだ。
アイルランドのアナリスト指摘したスパムは、DHA(辞書獲得攻撃)である。DHAでは、スパマーは大量の電子メールを特定のドメインに送りつけ、どのアドレスが宛先不明で返ってくるかを調べる。次に通知が返ってこなかったアドレスを記録して有効な電子メールアドレスのリストを作成する。図5のように、メッセージの中身はまったく意味をなさないランダムな文字の羅列となっている。
図5 DHAで使われたスパム |