減少傾向が見られるも悪質なスパムが継続、LinkedInを語るスパムメールなど － シマンテックレポート

9月の全体的な傾向

9月の傾向として特徴的であったのは、スパムの減少である。メッセージ全体に対し、8月の92.51%に対し、9月は89.40%と明らかな減少が見られた(この分析については後述する)。しかし、送られるスパムは、悪質なものが多かった。マルウェアをダウンロードさせるWebサイトへ誘導したり、マルウェアを添付するものなどが数多く検出された。フィッシング攻撃に関しては、9月は52%の増加と大幅なものとなった。

その理由として、自動化ツールキットによる攻撃と一意のドメインのフィッシングを含むWebサイトが増加を指摘している。自動化ツールキットで作成されたフィッシングWebサイトは、9月には46%の増加、一意のURLについては83%増加となった。特に、http://255.255.255.255のようなIPアドレスを含むフィッシングWebサイトは約35%の増加となった。また、Webホスティングサービスはフィッシング全体の12%を占め、これは先月比で30%の増加となった。フィッシングWebサイトは英語圏のものが多いが、注意を怠らぬようにしたい。危険なWebサイトを事前に検出する機能を持つセキュリティ対策ソフトなどを利用することも効果的であろう。

スパムの減少

冒頭でも触れたように、9月はメッセージ全体に対するスパム量が89.40%と大幅な減少となった。

これについて、シマンテックでは以下のような分析を行っている。

 . 8月と比較して9月はメッセージ総量の27%以上が減少
 . 10月3日の最低下落時のメッセージ総量は、3週間前の9月12日より55%以上少ない

2008年には、スパムを容認していたホスティングサービスのMcColeの接続遮断がとられ、スパムが大幅に減少した。それ以来、最小のスパム数となった。その原因として、spamit.comの閉鎖と最近逮捕されたZeusリングの2つを指摘する。しかし、McColoの際もそうであったように、スパム量は時間の経過とともに復活すると予想されている。

悪質なスパムが猛威を

9月は、悪質なスパムが多かった。9月9日には、件名が「here you have」のスパム攻撃が多数検出された。

このスパムには、PDF文書へのリンクがある。このリンクをクリックすると、マルウェアであるW32.Imsolk.B@mmを含む.scrファイルがダウンロードさせられる。W32.Imsolk.B@mmの活動は、リムーバブルドライブやマップされたドライブを介して拡散し、大量のメール送信を行う。さらに、このマルウェアは共有フォルダやインスタントメッセージからも拡散し、感染したPCにファイルをダウンロードしようとする。9月後半には、LinkedInを詐称するスパムが検出された。

LinkedInは、ビジネス向けのサービスを中心としたソーシャルネットワークサービスである。このスパムには、マルウェアをインストールさせるリンクが仕込まれていた。ユーザーがこのリンクをクリックすると、ユーザーのPCにZeusというマルウェアが自分自身をインストールする。Zeusはユーザーに関する秘密情報を収集し、犯罪行為に悪用しようとする。シマンテックでは、LinkedInを詐称するスパム攻撃同様に、他のソーシャルネットワークを悪用するスパム攻撃を検出したとのことである。

図4は、高騰する金の市場を悪用したものである。スパマーは低価格で金を販売すると騙り、さらに多額の購入に対しては無料のギフトを提供するとする。シマンテックによれば、9月最後の週における金に関するスパムメッセージ数が、8月最後の週の2倍近くになっているとのことだ。金相場の上昇とともに、スパマーがこうしたスパムを送信することが予想される。

9月に検出されたフィッシングサイト

冒頭で触れたように、9月はフィッシングサイトの大幅な増加となった。そのいくつかを紹介しよう。

銀行のログインページに似せたフィッシングサイトに個人情報を入力すると、「当銀行では新しいログインシステムを実装中である」や「本システムは新機能を提供してユーザーアカウントのセキュリティを向上させる」とし、新しいシステムに変更をするように求められる。図5ではアップデートツールの「updatetool.exe」をダウンロードして実行せよとある。しかし、これにはTrojan.Webkit!htmlというウイルスが含まれている。

このフィッシングサイトでは世界中のサーバーにあるいくつかのIPアドレスが指定されていた。これは、停止させるのが困難なfast‐flux型フィッシングサイトに多く見られるものだ。この攻撃ではフィッシングURLが、サブドメインのランダム化によって作り出されている。最初のサブドメインにランダムな数字が含まれているのが特徴である。

hxxp://session1000355.*****.com/****/login.jsp/[ドメイン名とサイト名は削除済み]
hxxp://session1000373. *****.com/****/login.jsp/[ドメイン名とサイト名は削除済み]

図6は、米国にあるデジタルサービス会社を詐称したフィッシング攻撃である。オンラインで料金を支払うユーザーを狙った攻撃である。ユーザーに不正なログインを防ぐために請求先情報を更新するように求める。さらに、プロファイルを更新すればフィッシング攻撃を回避できると騙る。こうしてユーザーがフィッシングサイトに個人情報を送信することで、フィッシャーは金銭の詐取に必要な個人情報を盗み出す。個人情報を入力するとフィッシングサイトは正当なWebサイトにリダイレクトされ、入力したユーザーは、支払いが完了したと思い込んでしまう。このフィッシングサイトは、インドのボパールにあるサーバーをホストとしていた。URL中のドメインの最上位ドメインはオーストリア(.at)となっていた。URLには、オンラインの請求処理に関係するWebサイトであるということを示す単語(billing)が含まれている。

hxxp://***‐billing.*****.at/ [ドメイン名と社名は削除済み]
hxxp://billing‐***. *****.at/ [ドメイン名と社名は削除済み]

シマンテックによると、ソーシャルメディアを悪用した攻撃についても増加が見られるとのことだ。より一層の注意をしてほしい。