NFL開幕スパムと誘導サイト

 現地時間9月9日、アメリカプロリーグの一つであるNFL(ナショナルフットボールリーグ)第1週のレギュラーシーズン13試合が全米各地で開催されました。
 NFLはMLB(野球)、NBA(バスケットボール)、NHL(アイスホッケー)を凌ぐ、全米でもっとも人気のあるプロスポーツリーグと呼ばれています。
 近年、日本においても漫画やテレビアニメの影響を受け、その注目度は高まっているかと思います。

 人々の関心が集まるところに、悪意あるユーザの影あり。

 さっそく、NFLの開幕に照準を当てたと思われる、スパムメールの流通が確認されています。

 ここでは、迷惑/詐欺メール検索エンジン(TMASE:Trend Micro Anti-Spam Engine)によりスパム判定された「NFL開幕スパム」について簡易分析を行ってみたいと思います。

 「NFL開幕スパム」の流通は、日本時間の9月9日から見られています。9月11日現在、文面を変え拡散範囲を拡大し続けています。

報告日
(日本時間)
件名 本文
9月9日に流通 Free NFL Game Tracker Football is back, Life may resume again!
Know all the games, what time, what channel and the stats.
Have all the details for every game with our free game tracking system:
http://8{BLOCKED}9/
9月11日に流通 Are you ready for football season? NFL Football is BACK!
Have the details for every game, provided every day.
Check out our online stats and game information center:
http://7{BLOCKED}9/

 いずれのケースにおいても添付ファイルはありません。メール本文に外部サイトへの誘導を促す内容を記載したタイプのメールです。

 誘導されるサイトはそれぞれ異なっていますが、表示される内容は全く同一です。

 不正サイト例

 「NFL」、「サイトへの誘導」この2つのキーワードから、2007年2月に発生した「スーパーボウル関連のWebページが改ざんされ、不正プログラムをインストールするスクリプトが仕込まれたというケース」を思い出される方もいらっしゃるのではないでしょうか。
 しかしながら、今回のケースにおいては、9月11日 AM4時現在、誘導サイトにはスクリプトは一切存在していません。ページ内のリンク先はすべて、以下の実行ファイルにハイパーリンクされています。 

ウイルス名 ファイル名 ファイルサイズ MD5ハッシュ値
WORM_NUWAR.AQN tracker.exe 136 KB (142.074 バイト) 7BC71F432AFD576749518D93ED79353B

 誘導サイトの設置国について分析したところ、アメリカ、 イギリスと国を分散して設置されていることを確認しています。

 用意周到な点から、計画的にウイルスの拡散を狙った攻撃と考えられます。今後、サイト自体に不正プログラムをインストールするスクリプトの設置(ドライブバイダウンロード攻撃)への発展も否定できないと考えられます。

 幸いなことに、今回のケースでは攻撃の連鎖を断ち切ることは容易です。スパムメールそのものを対策製品で遮断することで脅威の発生そのものを、気付くことなく安全に過ごすことが可能といえます。 添付ファイル付きメールはもちろん、URLリンク付きメールの取り扱いについても十分気をつけてください。