8月の全体的な傾向

メッセージ全体に対するスパムの量は、7月が91.89%であったのに対し、8月は92.51%と微増した。2010年7月でもzipファイルを添付したマルウェアスパムを報告したが、9月に入り、再度この攻撃が活性化している。マルウェアスパムの量は3倍以上に増え、zip添付ファイルのスパムは、前月比で4倍となった。さらに、悪質なJavaScriptを伴ったhtml添付ファイルも検出された。

フィッシングメッセージの総量は、11%増加した。この原因は、自動ツールキット攻撃が増加したことと見られている。自動ツールキットにより作成されたフィッシングWebサイトは、92%増加した。一意のURLの増加はわずか3%に留まり、IPドメイン(http://255.255.255.255といったドメイン)を使ったフィッシングWebサイトは約147%と大幅な増加となった。Webホスティングサービスはすべてのフィッシングの14%を占め、1%の増加となった。

zipやhtmlファイルが添付されたスパムメール

図1は、添付ファイルが付加されたスパムメールとzipファイルが添付されたスパムメールの比率を示したものである。

図1 添付スパムメールとzip添付スパムメールの推移(同社レポートより)

このグラフから8月に入り総量が大幅に増加したこと、ZIP添付のスパムメールが大きく増加し添付ファイルのほぼすべてを占めるように推移していることがわかる。シマンテックでは、これらzip添付メールでは大きく分けて3つに分類されるとしている。

  • Trojan.Zbot型を含む
  • Trojan.Sasfis型を含む
  • 波状の薬剤メッセージ

Trojan.Zbotは、感染したPCから機密情報を盗むことを主な目的としている。ツールキットによるカスタマイズが可能で、あらゆる種類の情報収集が可能となっている。銀行口座の情報など極めて重要な情報も搾取する可能性がある。zipファイルが添付されたスパムメールは、正規のメールに見せかけるようにさまざま工夫がこらされている。図2では、有名人に関する偽のニュースを使用してユーザーを騙そうとしている。

図2 zip添付スパムメールの例(同社レポートより)

Trojan.Sasfisはトロイの木馬の一種。他の悪質なコンテンツをダウンロードして実行する。8月、スパマーはさまざまなシッピング/デリバリーサービスサイトを悪用した。2つのトロイ系スパムと波状の画像技術を組み合わせた手口がzip添付スパムメールのほとんどとなった。図1で、8月後半になると、グラフの差が大きくなっている。これは、html添付スパムメールの増加によるものだ。htmlファイルには、以下の活動を行う恐れのある悪質なJavaScriptが含まれていた。

  • 偽のアンチウイルススキャンや他の詐欺情報を表示する
  • JavaScript、HTML、その他のファイルをダウンロードする
  • ブラウジングセッションをハイジャックする
  • ユーザーを悪質なWebサイトにリダイレクトする
  • 個人情報および機密情報を盗む

波状の薬剤メッセージというのは、画像解析の難読化を図るため波打つような画像でユーザーを導く加工がなされた画像で、これらは初期のスパムメールには見られなかった手口であるが2009年4月ごろから露見されてきたものだとシマンテックはレポートしている。こらら悪質化すると同時に量的にも増加するスパムメールの対策としては、まずは不審な添付ファイルは決して開かず、OSやアプリの脆弱性などの対策を行うことである。シマンテックでは、さらに総合的なセキュリティ対策ソフトを使うことも推奨している。

「ハイスクールミュージカル」にリンクしたフィッシング詐欺

8月には、映画「ハイスクールミュージカル」にリンクしたソーシャルネットワーキングサイトになりすますフィッシングサイトが確認された。ハイスクールミュージックとは米国で大ヒットした人気ミュージカル映画。シマンテックでは、この人気映画ハイスクールミュージックにリンクするソーシャルネットワーキングサイトになりすますフィッシングサイトを発見している。通常、フィッシングサイトは元のWebサイトと同一に見えるように作成される。このため、ユーザーにとっては、正規のWebサイトか区別することが非常に難しい。

この「ハイスクールミュージカル」を模したフィッシングサイトでは、正規のサイトと若干異なるWebサイトが見られた。つまり、「ハイスクールミュージカル」が何かを宣伝しているかのように改ざんする。今回の手法では、「ハイスクールミュージカル」がソーシャルネットワーキングサイトを宣伝しているように見せかけている。ユーザーは「ハイスクールミュージカル」にサインインすることで、共通の話題を語り合ったり、動画を見たりしたいという動機をフックとしてしかけている。

この手の宣伝内容には、有名人、特別な機会、ポルノグラフィ、映画、大規模イベントなどがほとんどである。そして、この宣伝はサイトのロゴ、Web ページの背景、画像など、フィッシングサイトの一定の特徴に手を加える方法で組み込まれる。

図3 ハイスクールミュージカルを組み込んだフィッシングサイト(同社レポートより)

こうしてユーザーがログイン情報を入力すると、フィッシャーは情報の入手に成功する。このフィッシングサイトはフリーのWebホスティングサイトにホストされていた。さらにフィッシングURLは、http://**/highschoolmusical.htm(ドメイン名は省略)となっており、映画「ハイスクールミュージカル」にリンクされていることを示していた。

We fight fraud for you! 私たちは詐欺と闘うと謳うフィッシングサイト

過去数カ月、イギリスや米国に拠点を置く正規の自動車販売サイトに対するフィッシング攻撃が確認された。これは顧客が自動車やオートバイなどの新車、中古車両を売却支援を行うサイトである。あるフィッシングサイトでは無料で広告することができるとし、このサービスを利用するには、身元証明の記入が求められる。この身元証明では、顧客の電子メールアドレス、広告のID、セキュリティ上の質問と答えなども要求される。この攻撃で詐欺師は「We fight fraud for you!(私たちは詐欺と闘います!)」という見出しを載せる。端から見ると単純な手口のように思えるが、油断してているときの一瞬の安心感を与える効果はあるだろう。このような隙を大量にばらまくことでフィッシングサイトが成立しているということを忘れてはならない(図4)。

図4 身元証明を求めるフィッシングサイト(同社レポートより)

図5のフィッシングサイトは、顧客のアカウントが「On‐hold(保留)」状態にあると騙る。アカウントを再び使用するにはサインインしなければならないとし、ログイン情報を盗み出す手口である。ログイン情報を入力すると、このページは正規のサイトにリダイレクトされる。

図5 サインインを求めるフィッシングサイト(同社レポートより)

類似の詐欺を仕掛ける他のフィッシングサイトでは顧客の連絡先情報やクレジットカード情報を要求した(図6)。このフィッシングサイトは顧客が選択した車両を購入する際の支払いのためにこれらの情報が必要であると騙る。

図6 クレジットカード情報を求めるフィッシングサイト(同社レポートより)

要求される情報には顧客の名前、住所、電話番号、電子メールアドレスがあり、クレジットカード情報にはクレジットカード番号、カードの有効期限、セキュリティコードが要求されている。これらのフィッシング攻撃の動機は、金銭目的であった。