スパムメールのホットスポットはどこにあるのでしょうか。トレンドマイクロでは、スパムメールに関し詳細な調査を実施しています。その研究成果の一つが「スパムマップ」です。スパムメールの配信元となっている国や地域をホームページで情報公開しています。
* 2008年9月よりスパムマップをリニューアルいたしました。新しいURLは「http://itw.trendmicro.com/malware_spam_map.php」になります。
■集計対象期間:2008年1月1日~2008年1月31日
|
順位 |
国名 |
世界に占める割合(平均) |
|
【1位】 |
アメリカ |
15.91% |
|
【2位】 |
ロシア |
7.60% |
|
【3位】 |
イタリア |
5.98% |
|
【4位】 |
ブラジル |
5.36% |
|
【5位】 |
トルコ |
5.50% |
1月度は、上位5カ国からのスパムメールの発信量が全流通量の約40%を占めています。
上記の5カ国に、6位にポーランド、7位にフランス、8位にイギリス、9位にドイツ、10位にスペイン、11位に韓国、12位に中国、13位にインド、が続いています。
また、1月度のワースト1であるアメリカは、1月中は1位にとどまり続けました。
 |
|
|
■2008年1月度のスパムメールハイライト 目次
ここでは、2008年1月にTrendLabsにて確認したスパムメールの事例をご紹介します。
■「Word文書」を使用したコンテナスパムが再び
2008年1月初めに確認されたのが「Word文書(.DOC)」を使用したコンテナスパムでした。
「コンテナスパム」とは、スパム送信者(スパマー)が発信したい情報をメール本文に記載するのではなく、コンテナに物を格納するかのように、添付ファイル内に配信したい情報を保存し配信する様から名付けられたスパムメールの総称です。
2006年夏頃にメッセージを画像データに変換した「画像スパム(イメージスパム)」が流行し、その後はPDFファイル、Excel文書(.XLS)、リッチテキスト文書(.RTF)、ZIP圧縮ファイル(.ZIP)などスパマーが発信したい情報を格納するファイル形式(コンテナ)を変えて拡大を広げていました。
スパム対策企業の取り組み(参考情報2.)により、コンテナスパムで配信することによるスパマーにとっての有効性は衰え、2006年後半には流通量が著しく低下しました。しかし、今回2008年初旬に再びWord文書をコンテナとするスパムメールの流通が確認されました。
 |
|
|
図2のとおり、確認されたスパムメールは医療関連の製品を広告するものです。今回、スパマーはメールの信憑性を引き上げるためにフッタ部分にセキュリティ会社の名前を挿入する手口を使用しています。
* 参考情報1. TrendLabs Malware Blog:「The DOC is IN, Again, in Spam」
* 参考情報2. ウイルスニュース:「PDFやZIPの添付ファイルで拡散するスパムメールが拡大中」
■メールを読むだけでモデムの設定が変更される
2008年1月10日に確認されたのがHTMLメールを読むだけでモデムの設定が変更されるというスパムメールでした。
メキシコを中心とした地域では、脆弱性:CVE-2007-4389(クロスサイトリクエストフォージェリ:Cross-Site Request Forgery)を抱えるDSLモデム 2Wire modemが広く使用されています。潜在的に被害を受けうる人は200万人以上になると見積もりされています。
※CSRFとは、悪意あるスクリプトやURLにアクセスさせることで、意図しないWebサイト上の操作を誘発させる攻撃手法のこと。
2008年1月10日に確認された攻撃は、まずユーザに麻薬犯を拘留したことを伝えるHTML形式のスパムメールが送信されます。このスパムメールには不正なコードが仕込まれており、メールを閲覧しただけでDSLモデムの設定が変更されてしまいます。これにより、攻撃者側はユーザのインターネットへのアクセスをすべて把握することができるようになります。
設定が変更されたDSLモデムを使っているユーザが銀行のWEBサイトにアクセスすると、偽の銀行サイトに誘導され、口座情報やパスワードなどの情報が搾取されます。
 |
|
|
今回狙われたDSLモデムも含め、昨今のホームネットワーク機器はブラウザベースのユーザインターフェイスが備えられています。このため、そのユーザインターフェイスにCSRFの危険性を含む脆弱性が存在した場合、攻撃者の格好の標的になり、ホームネットワーク機器の設定を無許可に変更されてしまう危険性があります。
幸いなことに未だ攻撃は報告されていませんが、独立行政法人 情報処理推進機構(IPA)より、日本国内において販売されているヤマハ株式会社(含むOEM製品)、株式会社バッファローのルータにおいても同様の脆弱性に対して注意喚起しています。ユーザの方は下記URLをご確認いただき、対策を施してください。
* 参考情報3. TrendLabs Malware Blog:「Targeted Attack in Mexico: DNS Poisoning via Modems」
■フィッシャーも狙うオンラインゲームアカウント
2008年1月14日に確認されたのがオンラインゲーム(「World of Warcraft」または「Tibia」)のアカウントを狙ったスパムメールでした。
オンラインゲームのユーザ向けに、データベース障害が発生したため別サイト経由でログインするように誘導するメールが届きます。しかしこのメールは詐称されたものであり、ユーザがこのメールにリンクされたURLからアクセスを行うと、ゲームのアカウント情報などが盗まれてしまいます。
 |
|
|
リージョナルトレンドラボでは、昨年11月にゲーム内のデータ(仮想アイテム)に貨幣価値が高まり悪意あるユーザがそれを狙っていることを紹介させていただきました(参考情報5)。2008年度も引き続き、ゲームアカウントは悪意あるユーザの標的となっていることがこのケースから読み取れます。
* 参考情報4. TrendLabs Malware Blog:「Phishing in the World of Warcraft and Tibia」
* 参考情報5. Trend Micro Security Blog:「ウイルスに狙われたオンラインゲームアカウント」
■愛を語り、医薬品を広告するストームワーム
2007年1月以降、大きな被害をもたらしているウイルス、通称「Storm Worm(ストームワーム)」。2008年度も引き続き警戒が必要です。
まず、2008年1月16日に確認されたのがバレンタインデー関連のプログラムに見せかけて、ウイルスを侵入させようとする手口でした。
これまでと同様メールでユーザの好奇心をそそる情報を配信し、記載のURL(不正サイト)に誘き出しウイルス感染させるものです。
 |
|
|
次に、2008年1月31日に確認されたのが、医薬品広告であるかのように詐称したメールによってウイルスを侵入させようとする手口でした。
 |
|
|
ストームワームが巧みな点は、手を変え、品を変えてユーザの好奇心をそそっていることです。
日本国内においては英語メールに対する不信感が高いため、大きな被害報告は寄せられていませんが、ひとたび文面が日本語になれば警戒心が弱まると予測されます。
いかなるメールであっても、覚えのないメール中のURLや添付ファイルにアクセスすべきではありません。
* 参考情報6. TrendLabs Malware Blog:「Storm’s Spamming Out Some Love」
* 参考情報7. TrendLabs Malware Blog:「Storm: Now Serving Bad Medicine」
* 参考情報8. Trend Micro Security Blog:「2月と言えば St. Valentine’s Day(セントヴァレンタインズデイ)」
スパムメールはウイルス感染のリスクやフィッシング被害に遭うリスクを高めるだけでなく、正当なメールとの仕分け作業によりユーザへ負担を与えたり、組織のネットワーク資源の圧迫、さらには不要なメールによりディスク容量が占有されるなど、大きな問題となっているのはご承知の通りです。
トレンドマイクロでは、クライアント環境での「スパム対策エンジン」(コンテンツフィルタリング)によるスパム対策のみならず、ゲートウェイでの4階層によるスパム対策を推奨しています。
- IP Profiler:メールアドレス収集攻撃(DHA:Directory Harvesting Attack)が確認されると、送信元サーバからの通信をブロックし、メールアドレスの流出を阻止する。
- IPレピュテーション:メールサーバの入口で送信元IPアドレスの信頼性を判断、スパムメールと認識したものは自動的にブロックする。
- IP Profiler:特定の企業や組織を狙うスピア型攻撃が確認されると、送信元サーバからの接続を自動的にブロックする。
- スパム検索エンジン:ヒューリスティックとパターンマッチングの技術を組み合わせて検出・隔離する
トレンドマイクロでは、引き続きスパムメール対策のソリューションを提供してまいります。
●メッセージングソリューション
企業のメールやグループウェアを保護します。
●ゲートウェイ対策
外部からの侵入や内部からの漏えいをインターネットの入り口で防ぐソリューションです。