スパマー自身がURL短縮サービスを運営し、スパムに悪用する例も － シマンテックレポート

10月の全体的な傾向

まずは、スパムメールである。10月の世界全体のメールトラフィックに占めるスパムの割合は、74.2%と、9月に比べ0.6%減少した。上位国は、9月同様にサウジアラビアがトップで、ロシア、ルクセンブルクと続く。これら三カ国がやや突出している。日本のスパムレートは、70.8%と全体に傾向に合わせ微減した。

9月のフィッシング活動は、微増といえるだろう。メールによるフィッシング攻撃は、343.1通に1通の割合となった。もっとも大きな割合となったのは、英国の178.3通に1通であった。次いで、9月に1位であった南アフリカ、オーストラリアとなった。日本では、3385通に1通となり、10月の減少から一転、大きく増加した。10月のフィッシングサイトの数は17.1%の増加となった。全体的にやや活動が活発化しているといえよう。年末にかけ、クリスマスなどに便乗した攻撃も予想される

最後に、メールトラフィックに占めるメール感染型ウイルスの割合は、235.8通に1通の割合となり、9月と比較すると3.6%の増加した。日本では、1,048に1通であった。9月には、ポリモーフィック型マルウェアの亜種を含むものが、多数観察された。10月は、45.1%となり、減少が見られた。手口はこれまで同様に、ZIP形式のファイルがメールに添付されている。エンドポイントの脅威について目を向けると、9月に最も多くブロックされたマルウェアは、W32.Sality.AEとなった(全体の7.19%を占める)。これは、実行可能ファイルに感染し拡散する。さらに、悪質なファイルをダウンロードさせようとする。2010年には最も多くブロックされたマルウェアとなった。W32.Ramnitと同じく、亜種が多い点も特徴である。このようなマルウェアは、ツールキットで作成されることが多く、数百から数千の亜種が作成される。これは、シグネチャーベースの検出を回避することが目的である。対策は、ヒューリスティック分析やジェネリック分析が有効である。

URL短縮サービスを悪用

Twitterなどでよく使われるものが、URL短縮サービスである。本来のURLよりも少ない文字数なので、文字数に制限のあるTwitterなどでとくに重宝される。悪意を持った攻撃者は、スパムサイトを隠し、遮断されにくくするために、独自のURL短縮サービスを開設している。10月には、80以上のURL短縮サイトを運営するスパマーが確認された。今回観測されたものは、オープンソースのURL短縮スクリプトを使用し、実際に公開されていた(図4)。

このサービスで、多数の短縮URLを作成すると、これらのURLを含むスパムを送信する。送られたスパムは、空の件名、もしくは「It's a long time since I saw you last!(お久しぶりです)」や「It's a good thing you came（来てくださってありがとう）」といった、受信者がメッセージを開くように仕向ける件名を混ぜる。これは、よくあるソーシャルエンジニアリングを使った手口である(図5)。

この短縮URLでは、医薬品のスパムサイトにリダイレクトされる(図6)。

短縮URLにより、リダイレクト先の想像がつきにくくなり、危険なWebサイトへリダイレクトされやすくなる。目的は、自身のスパムサイトを隠すことにある。シマンテックでは、今後も続くと予想している。

Stuxnetの再来か？W32.Duqu

Stuxnetは、イランの原子力施設を狙った攻撃として、注目を集めた。今回、新たに報告されたDuquは、ブタペストの大学の研究所の標的型攻撃の分析から発見された。この新たな脅威を分析した結果、Stuxnetとほとんどの部分で同じコードが見られた。これは、単に、Stuxnetのバイナリにアクセスできたというだけでなく、明らかにソースコードにまで、アクセスが可能であったとのことだ。これは、Duquの作者が、Stuxnetを作成した攻撃者である可能性があるとのことである。

Duquの目的は、産業施設へのサプライヤーなどの組織からインテリジェンスデータや資産を収集することにあり、Stuxnetとは大きく異なる。しかし、異なる第三者に対する将来の攻撃を実行しやすくすることに真の目的があるとのことだ。攻撃者は、将来、産業施設に攻撃をしかけるのに使える設計図などの情報を狙っていると思われる。シマンテックでは、Duquは、将来のStuxnet同様の攻撃の前兆ではないかと分析する。Stuxnetもそうであったが、攻撃の方法や目的が大きく変化してきている。今後とも、情報収集と注意をすべきであろう。また、脆弱性の解消も速やかに行ってほしい。