スパムメールのホットスポットはどこにあるのでしょうか。トレンドマイクロでは、スパムメールに関し詳細な調査を実施しています。その研究成果の一つが「スパムマップ」です。スパムメールの配信元となっている国や地域をホームページで情報公開しています。
* 2008年9月よりスパムマップをリニューアルいたしました。新しいURLは「http://itw.trendmicro.com/malware_spam_map.php」になります。
■集計対象期間:2008年4月1日~2008年4月30日
|
順位 |
国名 |
世界に占める |
先月割合 |
先月 |
先月 |
|
【1位】 |
アメリカ |
12.34% |
14.33% |
【1位】 |
→ |
|
【2位】 |
ロシア |
8.24% |
7.92% |
【2位】 |
→ |
|
【3位】 |
ブラジル |
5.99% |
5.55% |
【3位】 |
→ |
|
【4位】 |
中国 |
4.46% |
4.59% |
【7位】 |
↑ |
|
【5位】 |
イタリア |
5.35% |
5.70% |
【4位】 |
↓ |
4月度は、上位5カ国からのスパムメールの発信量が全流通量の約36.4%を占めています。
上記の5カ国に、6位にイギリス(先月8【位】)、7位にトルコ(先月9【位】)、8位にポーランド(先月5【位】)、9位にスペイン(先月10【位】)、10位にフランス(先月6【位】)が続いています。
1、2、3月度と続いてきたアメリカ、ロシアのワースト1、2傾向に対し、ゆらぎを与える、中国の配信量急増が見られます。
アメリカにおけるスパム業者に対する規制強化は、配信に占める割合の低下として、確実にその効果が現れてきています。その一方で、規制から逃れようとするスパム業者により、ランキングの傾向に大きなゆらぎが生じてきています。
中国においては、インターネット接続に対し「互聯網信息管理方法」(国務院令第292号)をはじめとする法令により政府管理下に置かれています。このため、国ぐるみの対策が直ちに効果が現れるのではとする見方もあります。
いずれにせよ、スパム業者は国境を越え、対策の甘いメールサーバに巣食うことは間違いないと言えそうです。
 |
|
なお、10位以下の場合、スパム配信率のデータプロットは行われていません。 |
■2008年4月度のスパムメールハイライト 目次
ここでは、2008年4月にTrendLabsにて確認したスパムメールの事例をご紹介します。
■ストームワーム、エイプリルフールに再び
2008年3月31日、2008年4月1日に確認されたのが、エイプリルフールにちなんだ文面でウイルス感染サイトへ誘導するスパムメールでした。
ウイルス感染サイトにて拡散されていたウイルスは、2007年1月以降猛威を振るっている「Storm Worm(ストームワーム)」の亜種です。
彼らは今年2月にも、バレンタインデーのグリーティングカードを装い、ウイルス感染サイトへ誘導するスパムメールを拡散していることが確認されています。
メール記載のURLへアクセスすると、エイプリルフールにちなんだ画像が表示されます。その背後では、「funny.exe」と名づけられたファイル(ストームワーム)がダウンロードされ、感染活動が開始されます。ファイル名は定期的に変更され、「foolsday.exe」/「Kickme.exe」と名づけられたものも確認されています。
 |
|
|
TrendLabsの調べによれば、ウイルス感染サイトにて表示される画像は「Google」の画像検索において、「April Fools」で検索されると最初に表示される画像であることを確認しています。
これは、ウイルス感染サイト作成にかかる工数の短縮化、SEO(Search Engine Optimization:サーチエンジンオプティマイゼーション=検索エンジン最適化)効果を狙ってのGoogle検索結果の流用と推測されます。
5月には、「母の日(Mother’s day)」が控えています。2000年には、スクリプト型ウイルス「VBS_LOVELETTER」の亜種が、母の日にちなんだ内容にて拡散されていたことが報告されています。
「母の日」のように、ギフトが絡むイベントではオンラインショッピング詐欺と連動したスパムメール拡散なども予測されます。ご注意ください。
* 参考情報1. TrendLabs Malware Blog「April Fool’s: The Joke’s on You」
* 参考情報2. Trend Micro Security Blog「スパムマップ配信国ランキング(2008年2月) | やっぱり狙われたバレンタインデー」
* 参考情報3. ニュースリリース – 2000/5/6「「VBS_LOVELETTER」変種・亜種続々発生」
■ソーシャルエンジニアリング効果を狙った米国税金還付を詐称したスパムメール
2008年3月28日に確認されたのが、メールと電話を併用したビッシング(vishing:voice phishing)と呼ばれる手口を使用した、米国税庁(IRS:Internal Revenue Service)からの税金還付通知を詐称したスパムメールでした。
手口もさることながら、注目すべきは米国内における背景です。
米国においては、「景気刺激策(Economic Stimulus Act of 2008)」いわゆる所得税還付法案が2月に成立しています。独身者で最高$600還付される同法案は兼ねてより話題となっていました。IRSでは同法案成立を「郵送」にて、「Economic Stimulus Payment Notice(PDF)」として2007年度の確定申告者に告知を行っています。また、同法案による還付を受けるには、4月15日までに確定申告を済ませる必要があります。確定申告を済ませようとする人たちにより、郵便局が混雑している様子が、連日映像とともにニュースにて報じられていました。
このような背景において確認されたのが今回のスパムメールです。
還付金詐欺は古典的な詐欺手法であり、多くの人はその情報に対して慎重です。しかし、今年度に至っては先の背景により、情報の真偽への注意力が低下していたものと推測されます。また、期限が迫られたこの時期にスパムメールを配信することで、スパム送信者(スパマー)は考える余裕を与えさせないソーシャルエンジニアリング効果を狙ったものと推測されます。
 |
|
記載された悪意ある電話番号へ誘導しています。 |
IRSは電子メールによる通知は行わないとして繰り返し注意を呼びかけています。
仮に信頼に足りる内容が電子メールに記載されてあったとしても、自ら正規サイトへアクセスし、メールで連絡された事実があるかどうか確認することがこの種の攻撃に対して有効です。
米国税金還付情報はウイルス拡散手段としても悪用が報告されています。2008年4月9日に確認されたのが、「TROJ_DELF.HAV」であるMicrosoft Word文書を添付したスパムメールです。
同事例においては、メールの件名に信頼性を高める工夫が確認されています。
| Re:tax contract for [会社名], Inc.(訳:[会社名]社における税契約) |
標的とする企業にあわせて、件名の[会社名]箇所を変更して配信されていたことが確認されています。
メールの信憑性を判断する手法の一つとして、パーソナライゼーション(個人の特定)有無を確認することが挙げられます。今回の事例はその裏をかいた手法といえます。
組織名は容易に詐称できるパーソナライゼーションです。また、規模の大きな組織では、顔が見えない相手とのコミュニケーションが必要とされることもあるかと思います。今回の事例を通じて、詐称に強いポリシー(パーソナライゼーションの判断基準)作りと、その啓蒙活動を進めていくことが有効な対策になると思われます。
 |
|
添付ファイル「incomplete_contract.doc」はウイルス「TROJ_DELF.HAV」。 |
* 参考情報1. TrendLabs Malware Blog「Phishers Raise Their Voices」
* 参考情報2. Trend Micro Security Blog「スパムマップ配信国ランキング(2008年2月) | メールと電話を併用したビッシング」
* 参考情報3. Trend Micro Security Blog「スパムマップ配信国ランキング(2008年2月) | 税の還付金を理由とした詐欺に注意」
* 参考情報4. TrendLabs Malware Blog「More IRS Malware: As U.S. Tax Deadline Looms, Cyber Criminals Ramp Up」
■マイクロソフト セキュリティ更新プログラムを詐称するスパムメール
2008年4月3日に確認されたのが、マイクロソフト セキュリティ更新プログラムを詐称するスパムメールでした。
確認されたスパムメールは、送信者に「Microsoft Corp.」、件名「Critical patch released」。本文には、Microsoft OutlookとExchange Serverに脆弱性が発見され、ゼロデイ攻撃に悪用されているため、直ちにセキュリティ更新プログラムを適用する必要性があることを伝えています。
その上で、セキュリティ更新プログラムとするZIP圧縮ファイル「advisory.zip」が添付されています。「advisory.zip」展開により得られるプログラムは、ダウンローダ型トロイの木馬「TROJ_AGENT.AZZZ」です。
 |
|
|
このような攻撃戦略はこれまでにも確認されています。特に2003年に報告された「WORM_SWEN.A」では、今回と同様にHTML形式メールによって、マイクロソフト社のロゴやフォーマットで装飾することにより、多くの利用者に情報を信頼させ、大規模感染に至っています。
今回の攻撃における新規性は、仕掛けられた罠の二重化が上げられます。
添付ファイルのほかに、メール記載のURLへアクセスすると、先とは別のウイルス「TROJ_AGENT.AZAZ」感染サイトへの接続機能も仕込まれていました。
これは、セキュリティ対策が施された環境に対する、抜け道を見出そうとしたスパマーの戦略であると推測されます。
メールサーバにおける添付ファイルの安全性に気を配っている組織においても、攻撃を成立させるため、HTTP経由でのウイルス侵入を狙ったと思われます。
メールの送信名やそのデザインは信頼性判断の有効材料とはなり得ません。情報が偽装されている可能性を視野にいれ、鵜呑みにすることが無いようご注意ください。
* 参考情報1. TrendLabs Malware Blog「Before Patch Tuesday, There Were Malware」
* 参考情報2. TrendLabs Malware Blog「This IE7 email does not download an update…」
■スパマーが注目するセレブ
2008年4月8日に確認されたのが、ハリウッドセレブのポルノビデオと称し好奇心を煽り、ウイルス感染サイトへ誘導するスパムメールでした。
芸能(ゴシップ・スキャンダル・暴露・成人系)ネタに動画共有サイトを絡めた手法は、2006年頃より火がつき、いまや攻撃者の常とう手段の一つとなっています。
2008年においても、2月に「月食ビデオ」、3月に「捏造ニュース」を題材とした攻撃が確認されています。そして、4月に確認されたのが「ハリウッドセレブの捏造ポルノビデオ」でした。
ゴシップ(噂)は、人気バロメータのひとつともいえるものです。ここでは、登場した人物について紹介します。
- ブリトニー・スピアーズ(Britney Spears:米国女性歌手)
- ニコール・リッチー(Nicole Richie:米国女優)
- ペネロペ・クルス(Penelope Cruz:スペイン女優)
 |
|
|
今後も注目度の高いハリウッドセレブが、スパムメールの題材として取り上げられる可能性が高いと推測されます。
スパマーが注目するのは、ハリウッドセレブだけではありません。2008年4月6日に確認されたのが、米大統領選挙候補者であるバラック・オバマ上院議員(Barack Hussein Obama)が標的とされた事例です。
確認されたスパムメールでは、その本文にスキャンダラスなビデオをネタにウイルス感染サイトへの誘導を促す文面が記載されています。スパムメールに記載されたURLをクリックすると「Barack_Obama-videostream.v182.exe」がダウンロードされます。同ファイルはバックドア機能を持つウイルス「BKDR_AGENT.ABTQ」であり、その実行により感染活動が開始されることとなります。
 |
|
|
一時の好奇心が取り返しのつかないデータ破壊につながる可能性があります。今後もメールの添付ファイルはもちろんのこと、記載のURLについても安易にクリックすべきではありません。また、「Webレピュテーションサービス」などを利用し、悪意あるページの接続を拒否する機能を予防策として導入しておくことが、この種の攻撃には有効です。
* 参考情報1. TrendLabs Malware Blog「The Malware-Gossip Duo」
* 参考情報2. TrendLabs Malware Blog「Obama Admits Affairs, According to Spam」
* 参考情報3. Trend Micro Security Blog「スパムマップ配信国ランキング(2008年2月) | 「月食ビデオ」の案内で知的好奇心を煽る」
* 参考情報4. Trend Micro Security Blog「スパムマップ配信国ランキング(2008年3月) | 捏造ニュースを報じるスパムメールでトロイの木馬に誘導」
* 参考情報5. TrendLabs Malware Blog「“Scary” Movie」
* 参考情報6. 動画で見るウイルス「メールのリンクでウイルス感染」
■回顧主義なスパマーによる後方散乱(backscatter)スパムメール
2008年4月8日に確認されたのが、「後方散乱(backscatter:バックスキャッタ)メール」として知られている手法によるスパムメールでした。
 |
|
|
後方散乱メールとは、メールサーバの不達メール(bounced mail:バウンスメール、エラーメール)機能の仕組みを悪用した攻撃です。
メールサーバでは、受信したメールが何らかの理由により送信エラーとなった場合に、バウンスメールを返送する仕組みが採用されていることがあります。攻撃者は「返送する仕組み」に注目します。まず、送信者(発信元)アドレスを偽装したメールを大量配信します。このうち、送信先アドレスが不明なメールに対してはバウンスメールが返送されます。このとき、バウンスメールの返送先は実際の送信者ではなく、「偽装された発信元(被害者)」のメールサーバに返送されることとなります。
 |
|
|
被害者となる偽装された発信元のメールサーバでは、総定量を超えるメールを受信することとなり、サービス提供が困難な状況となります。これにより、攻撃者の目的達成に至ることになります。
この種の攻撃手法は非常に古典的なものです。1997年1月に米国のjoes.comにおいて、アドレスを削除されたスパマーがその報復として、「reply-to:」ヘッダを偽装したメールを大量送信した事件から別名「ジョー・ジョブ(Joe job)」とも呼ばれています。
ウイルスにおいて古い攻撃手法を再び悪用する事例が増えてきているように、スパマーもまた古典的な攻撃手法を再利用することがあります。なぜなら、古典的な攻撃手法であっても、その効果は発案当時と何ら変わらない結果が期待できるためです。
なお、トレンドマイクロが提供する「スパムメール対策」では、「後方散乱メール」の検出にも対応しています。
* 参考情報1. TrendLabs Malware Blog「Backscatter Spam Still Alive」
■クレジット会社の信頼を逆手に取ったスパムメール
2008年4月5日に確認されたのが、米マスターカード社(MasterCard)の案内を装ったスパムメールでした。
巧みなスパマーが今回仕掛けた攻撃は、マスターカード社が実際に提供しているオンライン不正使用防止サービス「SecureCode」に絡めたものでした。
「SecureCode」の登録キャンペーンを装ったスパムメールでは、今回の登録によって、今後のカード利用ショッピングに対し16%のディスカウントを提供するという魅力的な記述が記載されています。
 |
|
|
実際には、このようなキャンペーンは行われていません。甘い誘い文句につられ、メール本文中のURLをクリックすると、実在するマスターカード社のサイトによく似せた偽サイトへと誘導されます。
偽サイトではいつものごとく、カード番号をはじめとする個人情報の搾取が行われます。
悪意あるユーザが金融機関などからのメールを装う「フィッシング詐欺」の被害は収まることがありません。今後、自身が被害者になりうる可能性も十分考えられます。今一度、4つの自衛策を確認いただき、安全なオンラインショッピングをお楽しみください。
- メールで送られてくるウェブサイトのリンクは極力クリックしない。対象のサイトへ直接訪問し確認を行う。
- 利用対象の金融機関サイトにアクセスできていることを、毎回ブラウザのアドレスバーより確認する。
- 金融機関のサイトへ確実にアクセスするため、アドレスバーにアドレスを直接入力または、ブラウザのブックマーク機能を利用する。
- Webサイトの安全性を評価する「Trend プロテクト」を利用する。
* 参考情報1. TrendLabs Malware Blog「SecureCode Begets Phishing than Protection」
■MSNアカウントを狙うスパムメール
2008年4月6日に確認されたのが、マイクロソフト社が提供するインターネットサービスMSNのアカウント搾取を狙ったスパムメールでした。
今回確認された攻撃では、利用者の好奇心が付け込まれています。
ドイツ語で配信されたそのスパムメールでは、MSNにおいてあなたをブロック / 削除したアカウントリストが取得できる無料サービスであると偽り、個人情報入力サイトへと誘導しています。
メール文面を信頼し、訪れた先ではブロックリスト取得のためにMSNアカウントとパスワードの入力が必要であると促されます。ここで言われるがままにアカウント情報を入力した場合、その情報は悪意あるユーザの手に渡ることとなります。
 |
|
|
悪意あるユーザはこうして不正に入手したアカウントをさまざまな形で悪用します。特にMSNアカウントは、シングルサインオン(1回のログインで対応するすべてのサイトおよびサービスにログインできる)機能を備えているため、1つのアカウント取得により、さまざまなサービスが掌握される危険性が推測されます。
MSNアカウントに限らず、すべてのサービスにおいて自身のアカウント情報を安易に第三者に伝えることがないよう、ご注意ください。
* 参考情報1. TrendLabs Malware Blog「SecureCode Begets Phishing than Protection」
■「デジタル証明書」を装ってウイルスインストールを促すスパムメール
2008年4月最後に確認されたのが、「デジタル証明書」のインストールを装ってウイルス感染サイトへ誘導するスパムメールでした。
デジタル証明書(Digital Certificate:電子証明書)とは、インターネット上で発行元の存在、信頼性、正当性を保証するための証明書、いわば信頼の証です。今回の事例では、ウイルスをその信頼の証に詐称することでインストールさせる手口が報告されています。
まず、はじめに報告されたのが米バンク・オブ・アメリカ(Bank of America)の事例です。従来の手口と同様にまずはメールにて偽サイトへの誘導が行われます。偽サイトでは「オンラインバンクにログインするには、お使いのパソコンに、あなたのデジタル証明書をインストールする必要があります」として、デジタル証明書の作成要求が行われています。
デジタル証明書作成の必要用件として、ユーザID、パスワードの入力が求められます。それと同時に「Microsoft Certificate Enrollment Code」というActiveXコントロールの実行が要求されます。
要求に従い手順を進めていくと、「sophialite.exe」なるプログラムのダウンロードおよび実行が要求されます。この「sophialite.exe」が実はウイルス。トレンドマイクロでは事前予防(Generic)検出パターンにより、未然にその脅威の検出に対応いたしました。
 |
|
|
類似攻撃は続きます。続いて報告されたのが、米コメリカ銀行(Comerica Bank)、米コロニアル銀行(Colonial Bank)の事例です。
手口は先の事例と同様に、デジタル証明書と偽ることで、ウイルス「TSPY_PAPRAS.AC」または「TSPY_PAPRAS.AD」をインストールさせようと誘導しています。
 |
|
|
手口の類似性から同一犯説も浮上しています。ある解析者は、2004年から活発な活動を見せている欧州のサイバー犯罪組織の関与を示しています。しかしながら、筆者が現在得ている情報からはその真偽の判定には至っていません。
いずれにせよ、犯罪組織の技術力は飛躍的に向上し、新しい攻撃手法を生み出しては、その手法を洗練させていっていることは確かです。
新しい攻撃手法に対抗していくには、技術による予防策を進めるのはもちろんのこと、正しい知識を身につけて自ら身を守るようにする心構えが重要です。各金融機関のサイトでは多くの場合、利用者に対するセキュリティ指針を発表しています。この機会に利用機関が発信するこれら情報に目を向けてみてはいかがでしょうか。
* 参考情報1. TrendLabs Malware Blog「Digital Certificates Not Always a Safety Guarantee」
* 参考情報2. TrendLabs Malware Blog「Rock Phishers Up the Ante with More ‘Digital Certificates’」
スパムメールはウイルス感染のリスクやフィッシング被害に遭うリスクを高めるだけでなく、正当なメールとの仕分け作業によりユーザへ負担を与えたり、組織のネットワーク資源の圧迫、さらには不要なメールによりディスク容量が占有されるなど、大きな問題となっているのはご承知の通りです。
トレンドマイクロでは、クライアント環境での「スパム対策エンジン」(コンテンツフィルタリング)によるスパム対策のみならず、ゲートウェイでの4階層によるスパム対策を推奨しています。
- IP Profiler:メールアドレス収集攻撃(DHA:Directory Harvesting Attack)が確認されると、送信元サーバからの通信をブロックし、メールアドレスの流出を阻止する。
- IPレピュテーション:メールサーバの入口で送信元IPアドレスの信頼性を判断、スパムメールと認識したものは自動的にブロックする。
- IP Profiler:特定の企業や組織を狙うスピア型攻撃が確認されると、送信元サーバからの接続を自動的にブロックする。
- スパム検索エンジン:ヒューリスティックとパターンマッチングの技術を組み合わせて検出・隔離する
トレンドマイクロでは、引き続きスパムメール対策のソリューションを提供してまいります。
●メッセージングソリューション
企業のメールやグループウェアを保護します。
●ゲートウェイ対策
外部からの侵入や内部からの漏えいをインターネットの入り口で防ぐソリューションです。