シマンテックインテリジェンスレポート

7月は、メール全体に占めるスパムの割合は、77.8%と6月比で4.9%増となった。増加となったが、2010年と比較すると低いレベルにある。6月のレポートでも触れたように、Rustockボットネットの閉鎖以降、続く傾向である。フィッシングサイトの全体数は6.76%減となり、フィッシングサイトの自動生成ツールと独自ドメインが大きく数を減らしている。増加したのは、IPアドレスを使ったフィッシングサイト(例:http://255.255.255.255)で、58.5%増となった。また、メールの319.3通に1通(0.313%)にフィッシング攻撃が含まれていた。その他、

  • 携帯電話を狙うフィッシング詐欺
  • URLの短縮サービスを悪用したマルウェア攻撃

などが報告されている。

ポリモーフィック型マルウェアによる攻撃が増加

シマンテックでは2011年2月に、Bredolab、Zeus、Zbot、SpyEyeなどのポリモーフィック型マルウェアの危険性を指摘していた。7月には、ブロックされたメール感染型マルウェア全体に占める割合が23.7%と、その時の2倍以上になっている。ポリモーフィック型マルウェアは、異なるエンコード技術により、同一のコードを持つ多数の亜種を作成する。結果、従来の防御方法では、検知が難しい。また、マルウェア自体も非常に巧妙な仕組みになっている。図1の例では、起動コード内に5~6回の不必要な「ジャンプ」命令が含まれている。

図1 ジャンプ(JC:job control/ジョブ制御)命令が差し込まれた起動コードの一部(同社レポートより)

ジャンプ命令を実際の命令の間に差し込むことで、アンチウイルスエンジンに搭載されるソフトウェアエミュレーションの検知をかいくぐろうとしている。ジャンプ命令は、他のジャンプ命令とつながっていることが多く、従来型のアンチウイルスシグネチャから逃れることができる。さらに、有効な命令の間に、偽の命令を数多く差し込むことによって、ソフトエミュレーションのコードの分析で、到達できるコードの限界を超えてしまう。

図2 複数の余分なジャンプ命令によってプログラムのコントロールが移る(同社レポートより)

実際の攻撃の状況は図3の通りである。

図3 ポリモーフィック型マルウェアとメール感染型マルウェアの推移(同社レポートより)

6月10日以降、6月18日、28日、7月7日にピークを迎えている。シマンテックでは、この期間に約1,057種のポリモーフィック型マルウェアを検知し、ブロックしたとのことである。2月に発見されたポリモーフィック型マルウェアは40種であったので、その数は25倍に急増している。これは、悪意を持った攻撃者が、極めて積極的な活動をしたことの証拠といえよう。また、その背景には、自動化ツールの活用を拡大させたためと思われる。さらに、7月18日の攻撃では、およそ2,816回の攻撃で、52種類もの亜種が検知された。

図4 2011年7月18日にブロックされた新種のポリモーフィック型マルウェアの型ごとのコピー数(同社レポートより)

シマンテックでは、6カ月という短い期間でこのように多数の攻撃が行われ、しかも、従来型の防御が効きにくいという状況が重なり、厳重な注意を呼びかけている。

国内で多発する競馬を悪用したスパム

スパマーは、送信したスパムをなんとか開かせようと画策する。それは、世界共通といってもよい。そのために有名女優や世界的な出来事を悪用することも共通である。しかし、その国の文化・風習などを使うことも常套手段の1つである。シマンテックでは、日本でこの夏に多く検出された競馬を悪用したスパムについて報告している。詳細は、シマンテックセキュリティレスポンスブログ(http://www.symantec.com/connect/ja/blogs-222)を参照してほしい。まずは、スパム例である(図5)。

図5 競馬を悪用したスパムメールの実例(同社レポートより)

内容に特徴的な要素がある。

  • 高い回収率を謳う(図5では、1880%と騙る)
  • 「少人数限定」に対し、秘密の必勝法や高配当を得る方法を教える
  • 情報の料金は無料

シマンテックの分析によれば、日本では、30余りの競馬場で年間21,000以上のレースが開催されている。そこに多くの観客と詐欺師が集まってきている。まさに競馬大国といっても過言ではない。ギャンブルの多くがそうであるように、すべての観客が高配当を得ることはできない。しかし、多くの人々が、一攫千金の夢をみている。その心の隙を狙っているのである。実際に、メールにあるWebサイトの一例は、図6である。

図6 スパムから誘導される競馬詐欺サイト(同社ブログより)

スパムでは「無料」としながら、実際には、ほとんどが会員制であり、ユーザー登録が必要とされている。まずは、この段階で個人情報が詐取される。こうして収集された個人情報は、提携している出会い系サイトや悪質な広告業者に転売される。次いで、実際の情報を得ようとすると、指定された「ポイント」が必要になる。ポイントの入手には、本物の金銭が必要となる。

この金銭と先ほどの個人情報が、スパマーら攻撃者の利益となるのである。当然のことであるが、このWebサイトで提供される情報は、未来の事象に関するまったく根拠のない予測に過ぎない。また、一部の詐欺サイトでは、予想が外れた場合の返金保証などが謳われているが、これもでたらめで、騙された金銭を取り返そうとしても不可能に近い。競馬を悪用したスパムは、送信元を頻繁に変えてスパムを送り付ける。対策は、セキュリティ対策ソフトのスパム対策機能を活用することなどが、効果的である。