2013年のスパムメール脅威状況を振り返る

スパムメールの全体像において、2013年は変化の年でした。

スパムメールの数は、2012年から増加しました。トレンドマイクロは、過去に成功を収めたエクスプロイトキットの減少を目の当たりにしました。スパムメール送信者が利用するさまざま手口により、古いスパムメールもまた新しいものとなりました。従来型のスパムメールもいまだ存在する一方、弊社は、スパムメール送信者が検出を回避し、より多くのユーザに被害を与えることができるようにしたいくつかの「改良」も確認しました。さらに弊社は、より多くの不正プログラムを拡散させるために利用されるスパムメールも 2013年初めから確認しました。

図1:2008年以降のスパムメール数の推移
図1:2008年以降のスパムメール数の推移

■ゆっくりと終焉を迎えた Blackhole Exploit Kit(BHEK)
「Blackhole Exploit Kit(BHEK)」は、大量のスパムメール送信活動に広く利用された悪名高きエクスプロイトキットです。BHEK は、非常に適応性があり、脆弱性の利用、最新の注目の話題への便乗、さらにはいくつかのスパムメール送信活動にソーシャルネットワークをも利用します。

弊社は、2013年に BHEK による 198 のスパムメール送信活動を確認していますが、これは一昨年に比べると減少しています。スパムメール送信活動の数は減少したかもしれませんが、スパムメール送信活動の効果が弱まったわけではありません。例えば、ロイヤルベビー誕生の公式発表から数時間後には弊社でスパムメールを確認しています。ロイヤルベビー関連のスパムメールの数は、この期間に収集されたすべてのスパムメールの 0.8% にまで達しました。

図2:2012年3月から 2013年12月までの BHEK によるスパムメール送信活動の数
図2:2012年3月から 2013年12月までの BHEK によるスパムメール送信活動の数

2013年10月6日に、BHEK の作成者とされる「Paunch」の逮捕がありました。弊社は、Paunch容疑者逮捕後の 2週間は、BHEK による目立ったスパムメール送信活動が確認されなかったことに注目しました。BHEK によるスパムメール送信活動の数は減少し、12月には 0件にまでなりました。

■健康関連のスパムメールの急増
第3四半期に入り、弊社は、健康に関連したスパムメール数の増加を確認しました。この種のスパムメールは、弊社が確認したスパムメール全体の 30% を占め、毎日 200万通以上が確認された時期もありました。これらのスパムメールの内容は、ダイエットに関するものから医薬品に関するものまであらゆる範囲に渡ります。

このスパムメール送信活動の注目すべき点は、これらのスパムメールが商品の画像や行動喚起を用いた従来の直接的な方法から、より巧妙な手口へと進化したことです。健康に関連するスパムメールは現在、商品を売るためにニュース記事のテンプレートを利用します。ニュース記事のテンプレートを利用する目的は、次の 2つであると考えられます。スパムメール対策のフィルタによる検出を回避するためと、より本物らしくユーザーに見せるためです。CBS や CNBC、CNN、the New York Times、USA Today といった有名な報道機関からの情報であると装ったスパムメールもありました。

図3:健康に関連したスパムメールの一例
図3:健康に関連したスパムメールの一例

これらのスパムメールは、インド(10%)およびスペイン(8%)、イタリア(7%)、米国(6%)を含むさまざまな国の PC から送られました。

スパムメール数が急増したのは、弊社が今年確認した注目すべき健康に関連するスパムメールだけではありませんでした。物議を醸している通称「オバマケア」と呼ばれる米国の医療保険制度改革法に便乗したいくつかのスパムメールが、公式に施行する以前からも確認しました。ユーザがこれらのスパムメール内のリンクをクリックすると、アンケート詐欺サイトへと誘導されます。

■添付される不正プログラムの変化
スパムメールは、医薬品の宣伝と販売以外に、不正プログラムを拡散させるのにも利用されます。PC を感染させるさらに複雑な方法があるかもしれませんが、脅威の全体像において不正プログラムの添付の利用は、不変なものです。これは、添付ファイルをクリックするよう促すといった単純な手口の犠牲になるユーザが、いまだに存在することを意味しています。弊社は、スパムメールの数は 1年を通じて変動していますが、2013年の後半からは着実に増加していることに気づきました。(図4参照)

図4:不正な添付ファイルを含むスパムメール数の推移
図4:不正な添付ファイルを含むスパムメール数の推移

「ZBOT」は、第1四半期から第3四半期にスパムメールにより最も拡散された不正プログラムのファミリでした。「ZBOT」ファミリは、金融関連の情報を収集することで知られています。弊社は、第3四半期の途中で「TROJ_UPATRE」ファミリが「ZBOT」に取って代わり、添付される不正プログラムの首位になったことに気づきました。2013年11月には、添付ファイルを含む不正なスパムメールの約 45% が不正プログラム「UPATRE」を含んでいました。

「UPATRE」は、「ZBOT」や「身代金要求型不正プログラム(ランサムウェア)」、特に「CryptoLocker」を含む他の不正プログラムをダウンロードすることで悪名高いものとなりました。この種の攻撃は、情報が収集されるだけでなく、ファイルもアクセス不能にするため、ユーザにとって二重の危険性があります。

■2014年、そしてその後のスパムメール
トレンドマイクロは、2013年のスパムメールの全体像は、2014年に見るであろう脅威の先駆けとなると予測します。

  • スパム送信者は、検出を回避し、うまくユーザを餌食とするために、従来のスパムメールの手口を融合させる。
  • スパムメールは、不正プログラムを拡散させる手段として引き続き利用される。
  • スパムメール数という観点から、ソーシャルネットワークを利用したスパムメールは劇的な増加を経験する。

    • スパムメールおよび 2013年の脅威の全体像についてのその他の要素に関する詳細と見識については、弊社がまもなく発表する年次年末レポートをご参照ください。

    参考記事:

  • A Year of Spam: The Notable Trends of 2013
     by Merianne Polintan (Anti-spam Research Engineer)

    • 翻訳:木内 牧(Core Technology Marketing, TrendLabs)

    Related posts:

    1. Eメールアカウント不正アクセス事例がドイツで発生 詐欺メールへの再利用を確認
    2. ランサムウェア「CrypTesla」を拡散させる一連のマルウェアスパム攻撃を詳細分析
    3. オンライン銀行詐欺ツール「BEBLOH」に誘導するスパムメール、日本に拡大
    4. 新暗号化型ランサムウェア「R980」を確認、使い捨てメールアドレスで自身への追跡を回避