2014年上半期におけるスパムメールの数は、2013年上半期と比較して 60% 増加しました。トレンドマイクロでは、この増加について、いくつかの要因を挙げています。1つは、「DOWNAD [1]」の感染拡大や、「MYTOB」などのスパムメール送信機能を備えた不正プログラムを添付したスパムメールが着実に増加していることです。また、感染を拡大している「UPATRE」やオンライン銀行詐欺ツール「ZBOT」が、不正プログラムをダウンロードする感染媒体として、スパムメールを利用していることも要因の 1つでしょう。2013年のスパムメールの動向 [1]として、弊社は、不正プログラム拡散のためにスパムメールが引き続き利用されるだろうと予測しましたが、これは現在も事実のようです。
 [2] |
■ドイツのユーザを対象にしたスパムメール送信活動
弊社が解析した全スパムメールのうち、およそ 83% は英語で書かれており、残り 17% は英語以外の言語となっています。英語を除くその他の言語のなかで、スパムメールに最も利用されたのはドイツ語で、日本語が次に続きます。弊社では、ドイツ語で書かれたスパムメールの送信活動が、不正なコントロールパネル(CPL)ファイル [3]に誘導していることを確認しました。この CPLファイルの不正プログラムは、今年初めにブラジルのユーザに被害を与えたことから始まっています。また、2014年第2四半期後半に向けて、弊社は「EMOTET [4]」の出現を確認しています。「EMOTET」は、ネットワーク上の活動を傍受し、ユーザの個人情報を収集するオンライン銀行詐欺ツールです。この不正プログラムもまた、配送の請求書や銀行間の送金通知書を装ったスパムメールを介して侵入します。弊社の解析によると、ドイツの特定の銀行が、この不正プログラムが監視対象とする Webサイトのリストに含まれていました。
 [5] |
■検出回避の手法の変化:意味のなさない単語羅列からニュース記事と画像の利用
弊社のハニーポットの情報に基づくと、スパムメールの種類の上位は、不正プログラムに誘導するもの(20%)、健康関連(16%)、ビジネス関連および株式関連(それぞれ 11%)となっています。弊社では、株式関連のスパムメールが過去 6カ月間で急増しているのを確認しています。弊社が確認したスパムメールの 1つは、すぐにお金が稼げる株取引の秘訣を提供するとうたうスパムメールでした。技術的な観点では、以前のスパムメールは、意味をなさない言葉やランダムな単語を HTML に組み込んでいましたが、現在はニュース記事の抜粋を本文に記載して正規の Eメールのように装い、スパムメール検出のフィルタを回避する手法を取っています。また、単なる画像ではなく、ニュース記事に関連した画像を利用するなど、以前から利用されている技術も組み合わせています。この技術も、フィルタがスパムメールを検出するのを回避します。
 [6] |
■再利用される手法と新しい手法
ニュース記事になりそうな出来事や、映画、社会問題は、依然として、ユーザにスパムメールを開封させるソーシャルエンジニアリングの効果的な「エサ」です。こうしたスパムメールは、個人情報や PC情報の収集につながる可能性があります。ボットネット「Asprox [7]」によって拡散する不正プログラム「KULUOZ [8]」は、これまでと違った手法を取り入れ、CNN や BBC といったニュースの見出しを利用して、記事の抜粋をスパムメールの本文に記載しました。弊社は、検出回避のために、こうしたニュースの見出しや記事の抜粋を利用したと考えています。タイの軍事クーデターは、このようなスパムメール送信活動 [9]に利用されたさまざまな大きなニュースの 1つです。「KULUOZ」に関連するスパムメールは、ニュースの見出しを利用するほか、発送通知書のひな形を利用するという従来からの手法も用いました。
弊社が確認したもう 1つの傾向は、「Dropbox」などの人気のオンラインストレージサービスを悪用し、不正プログラムをダウンロードさせることです。弊社は、今年5月、「UPATRE [10]」に関連したスパムメールが Dropbox のリンクを利用していることを確認しました。Dropbox は、ソーシャルエンジニアリングの「エサ」になるだけでなく、不正なファイルをダウンロードさせます。ユーザが URL をクリックすると、Dropbox のリンクから「UPATRE」がダウンロードされます。「UPATRE」は、個人情報を収集する「ZBOT」をダウンロードすることで知られる不正プログラムです。「UPATRE」がダウンロードする「ZBOT」の亜種は、「NECURS」という別の不正プログラムをダウンロードします。弊社が確認した検体で、Dropbox のリンクが本文に記載されており、カナダの製薬会社の Webサイトに誘導するものがありました。また、弊社では、Dropbox と同様にオンラインストレージサービスを提供する「CUBBY」を悪用した別のスパムメールも確認しています。この問題のスパムメールは、オンライン銀行詐欺ツール「BANKER」の亜種に誘導します。
■脅威の全体像におけるスパムメール送信活動とその影響
弊社のハニーポットの情報に基づくと、スパムメールに関連する不正プログラムの数は 22% 増加しています。以前のブログ記事 [11]で、2014年第2四半期、スパムメールに関連した不正プログラムの 40% 以上が、「DOWNAD(別名:Conficker)」によって感染した PC から送信されていることを報告しました。「DOWNAD」は、2008年に初めて確認され、現在も感染を広げている不正プログラムです。大企業および中小・中堅企業に影響を与えた 3大不正プログラムの 1つとなっています。
スパムメールによって拡散される不正プログラムの第1位は「UPATRE」となっており、「TSPY_ZBOT」、「BKDR_KULUOZ」がそれに続きます。実際、「UPATRE」は、スパムメールを介して侵入する不正プログラムの 33% を占めています。しかし、6月に向けて、この不正プログラムに関連したスパムメール送信活動の数は減少しています。「ZBOT」は、スパムメールを介して拡散する不正プログラムを最も多く送信する不正プログラムの 1つです。
「KULUOZ」は、「FAKEAV」や「ZACCESS」といった不正プログラムをダウンロードし、感染した PC にスパムメールを送信させます。4月には、「KULUOZ」は韓国の旅客船沈没の悲劇的なニュース [12]に便乗しました。
 [13] |
 [14] |
■2014年下半期に向けたスパムメールの動向
スパムメールは、依然としてサイバー犯罪者が不正な活動を広げるための重要な武器です。弊社では、2014年下半期も、スパムメールは増加し続けるだろうと予測しています。昨年と同様、サイバー犯罪者が今年後半の祝日やイベントに便乗するため、スパムメールが急増する可能性があります。
不正プログラムを拡散するためのスパムメールもまた、引き続き確認することになるでしょう。さらに、新規に作成されたドメインも増加しており、弊社ではそれを拡散するスパムメールを通じて確認しています。これは、「DOWNAD」といったスパムメールを送信する不正プログラムが、接続先ドメイン名を生成する仕組みである「Domain Generation Algorithm(DGA)」の機能を備えているためです。すでに多数のスパムメールで 1つのドメインが確認されており、これもスパムメールの数に影響を与えている可能性があります。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network [15]」によって守られています。特に「E-mailレピュテーション [16]」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション [17]」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション [18]」技術により、上述の不正プログラムを検出し、削除します。
参考記事:
by Maria Manly [20] (Anti-spam Research Engineer)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)