攻撃手法の変遷を追跡:有名人ゴシップスパムメール

 2008年7月より、有名人のゴシップ情報を題材としたスパムメール被害が相次いで報告されています。

 被害は日本国内にも広がっており、皆さんのメールボックスにも届いている事例があるのではないでしょうか。今回は、いま報告されている有名人ゴシップスパムメールを攻撃手法から変遷を追跡してみます。

転送サービスを悪用し転送先を難読化

 一連の有名人ゴシップスパムメールの始点は図1のような本文に写真を添えた事例でした。HTML形式で作成されたスパムメールは、写真もしくは「WATCH」がリンクとなっており、その先に実行形式ファイルのウイルスが待ち受けています。

図1 米DoubleClick社のリダイレクタ機能を悪用し転送先を難読化している例
図1 米DoubleClick社のリダイレクタ機能を悪用し転送先を難読化している例

 スパムメール送信者(スパマー)は、URLから転送先が実行形式ファイルであるとの特定を逃れるため、オンライン広告会社 米DoubleClick社のリダイレクタを悪用しています。これにより、URLから推測されるウイルス設置サイトの情報を隠蔽し、被害者を不正サイトへ呼び込むことに成功しています。

http://ad.{BLOCKED}click.net/click%3Bh=mqZjUUTkbIdoYRmqZjUUTkbIdoYRmqZjUUTk%3B%7Esscs=%253f
図2 米DoubleClick社のリダイレクタ機能を悪用した転送URL例

 URL転送サービスやリダイレクト機能による転送先の難読化はこれまでにも複数報告されています。今回報告のDoubleClick社のみならず、eBay / Google / MSN / Yahoo! などのサービス悪用事例が報告されています。

 2005年に大規模感染が報告されている「WORM_ZOTOB.D」(ゾトブ)では、そのバックドア活動において、接続先サイトを隠蔽する目的で、URL短縮サービス「TinyURL.com」の機能が悪用されていたことが確認されています。

パスワード保護された圧縮ファイルを添付

 8月に入り新たに確認されたのが、図3のようなパスワード保護されたRAR形式圧縮ファイルが添付された事例でした。その本文には、圧縮ファイルの展開に必要なパスワードのみ記載され、その他の情報記載は見られません。

図3 パスワード保護された圧縮ファイルが添付されている例
図3 パスワード保護された圧縮ファイルが添付されている例

 このトリックはフィルタリング製品の盲点を狙ったものです。圧縮ファイルが添付されたメールは通常の組織活動においても流通しているタイプのメールです。このため、フィルタリング製品による遮断は困難といえます。また、パスワード保護されているため、ウイルス対策製品による圧縮ファイルの展開、調査もできません。よって、組織のゲートウェイをかいくぐり、クライアントへウイルスファイルを到達させるのに有効なトリックといえます。

 このパスワード保護のトリックも目新しいものではありません。2004年に大規模感染が報告されている「WORM_BAGLE」(バグル)ファミリにおいて同様のトリックが悪用されていたことが確認されています。

ホスティング先を頻繁に変更

 8月20日を過ぎたあたりより新たに観測されたスパムメールは「よりスキャンダラス」な内容(掲載写真)へと変化していきます。

図4 より過激な記載内容に向かっていくスパムメール例
図4 より過激な記載内容に向かっていくスパムメール例

 その一方で、それ以前のスパムメールに見られた巧妙な細工は落ち着きをみせてきます。特に転送先で待ち受けているファイルの名称が「play.exe」/「vid.exe」/「mov.exe」/「msvid32.exe」のように、一定の規則性が見られるようになってきた点は特筆に値すると思われます。

 しかしながら、引き続きスパマーは人海戦術的な手法を採ることで、フィルタリング製品の回避を狙ってきています。

 類似性の高いスパムメールの流量は増え続け、更にはスパムメール記載のウイルスファイルのホスティング先は頻繁に変更されています。いずれもフィルタリング製品の回避を狙った戦略と推測されます。

図5 世界各地に広がるゴシップスパムメールによる転送先
図5 世界各地に広がるゴシップスパムメールによる転送先

件名にあなたの名前があるスパムメール

 8月22日に新たに確認されたのが、図6のようなメール件名部に、個人名が記載された事例でした。

図6 メール件名部に、個人名が記載されたゴシップスパムメール例
図6 メール件名部に、個人名が記載されたゴシップスパムメール例

 メールの信憑性を判断する手法の一つとして、パーソナライゼーション(個人の特定)有無を確認することが挙げられます。この事例はその裏をかいた手法といえます。

 スパマーはメールアドレスの構造解析を行うことで、件名への個人名入力に成功していると推測されます。

 メールアドレスは、アットマーク「@」をはさんで、ユーザ部(アットマークの左側)とドメイン部(アットマークの右側)から構成されています。その利便性からユーザ部がフルネームと同一であるという人は多いのではないでしょうか。このため、スパマーがユーザ部の情報を抽出し、件名に挿入すれば個人を特定したスパムメールの送信が可能となります。

 件名に名前を挿入することは、メールの開封率を高める有効な手段として、メールマーケティングの世界でも知られている手法です。

今後の攻撃に備えた対策

 今回、有名人ゴシップスパムメール 4例を攻撃手法に注目して追跡してみました。そこから見えてきたのは次の傾向でした。

  • スパムメールにはスパムメール対策製品をすり抜けようと様々な偽装工作が見られる。
  • 偽装工作は新規性あるものだけでなく、旧知の手法が繰り返し使用されている。

 猛威を奮うスパムメールは必ずしも新たな技術を悪用したものではないといえそうです。

 これはすなわち、「基本対策を怠るべきではない」、「基本対策を行うことで脅威を防げる」、とも言えるのではないでしょうか。

 対策のみならず、普段のメール利用のあり方についても振り返ってみてください。普段のメール利用において、安易に興味心をそそるだけの件名で送っているようなことはありませんか。件名には「自分の名前」や「具体的な内容」を含めて、スパムメールと間違えられないように工夫を施す必要がありそうです。

 有名人ゴシップスパムメールが手元に届いた人、届かなかった人、その如何に関わらずこの機会に一考いただければと思います。

Related posts:

  1. アメリカ合衆国独立記念日にちなんだ文面でウイルス感染サイトへ誘導するスパムメール
  2. アンジェリーナ・ジョリーの動画を偽るマルウェアスパムメール
  3. マルウェアスパム侵入後:アンジェリーナ・ジョリーを開いたつもりが偽セキュリティソフト
  4. Visa / MasterCardからの案内を装ったメール、その実態はUSBメモリウイルスの拡散