スパムメールのホットスポットはどこにあるのでしょうか。トレンドマイクロでは、スパムメールに関し詳細な調査を実施しています。その研究成果の一つが「スパムマップ」です。スパムメールの配信元となっている国や地域をホームページで情報公開しています。
* 脅威をリアルタイムレポートする「Pollution Tracker」を公開いたしました。URLは「http://jp.trendmicro.com/jp/threat/trend_watch/pollution_tracker/」になります。併せてご活用ください。
■集計対象期間:2009年1月1日~2009年1月31日
|
順位 |
国名 |
先月 |
先月 |
|
【1位】 |
アメリカ |
【1位】 |
→ |
|
【2位】 |
ブラジル |
【3位】 |
↑ |
|
【3位】 |
ロシア |
【4位】 |
↑ |
|
【4位】 |
カナダ |
【8位】 |
↑ |
|
【5位】 |
トルコ |
【5位】 |
→ |
上記の5カ国に、6位にオランダ(先月6【位】)、7位にドイツ(先月7【位】)、8位に中国(先月2【位】)、9位にイギリス(先月9【位】)、10位にポーランド(先月10【位】)が続いています。
ワーストTOP5を見ると、昨年から引き続いている脅威傾向が見られます。依然、アメリカは20%以上のスパムメール発信元となっており目立った存在です。また、ブラジルの活性化傾向も継続しています。
今回は、この傾向を他の視点からも確認してみます。
各国のプロバイダにおけるボットネットの活動を監視している「Spam & Botnet Watch」(2009年01月31日時点)からは、スパムを配信するISP(インターネットサービスプロバイダ)の上位10社中2社がアメリカのISP、4社がブラジルのISPで占められていることが確認できます。
* アメリカのISP:1位「TTNET TTnet Autonomous System」、8位「VZGNI-TRANSIT – Verizon Internet Services Inc.」
* ブラジルのISP:2位「Telecomunicacoes da Bahia S.A.」、6位「TELECOMUNICACOES DE SAO PAULO S/A – TELESP」、9位「NET Servicos de Comunicao S.A. 」、10位「TELESC – Telecomunicacoes de Santa Catarina SA」)
また、イギリスのスパム対策団体「Spamhaus Project」が管理する悪質なスパム送信者のデータベース「ROKSO(Register Of Known Spam Operations)」によれば、2月2日現在、全登録110名中、62名がアメリカ系スパム送信者、3名がブラジル系スパム送信者の名前が掲載されています。
 |
|
|
「Spam & Botnet Watch」は、スパムマップとは異なる観点から警戒すべき動向を知らせています。スパムマップ ワースト10にランクインしていないものの、インド / ウクライナ / ペルー / スペイン / フィリピン / 韓国 に位置するプロバイダよりボットネット経由でのスパムメール拡散が多数見られます。
スパムメールを介した攻撃手法としては、先月に引き続き、社会学的に効果の高い手法が採られています。
WORM_WALEDACファミリがスパムメールによる拡散を広げています。ニューイヤーカード(年賀状)に米バラク・オバマ大統領の関連サイト、バレンタインデーカードなどに便乗した内容で受信者の警戒心を解こうとしています。
このような傾向はWORM_WALEDACファミリに限られたものではありません。
イスラエルのガザ地区への攻撃報道を装い、偽のCNNニュース動画サイトへ誘導。動画再生に必要なソフトウェアとして、ダウンロード型のウイルス「TROJ_DLOADR.QK」を侵入させようとする事例を確認しました。
個人情報を狙う攻撃者も感心の高い話題にいち早く便乗します。英文で「2010年FIFAワールドカップのオンライン宝くじで85万ドルが当たりました」というメールを確認しました。攻撃者は当選金を受け取るためと称して氏名、電話番号、職業といった個人情報を提供するよう促しています。
攻撃者が採用するコンテンツは関心の高い話題だけではありません。
折からの金融不況で財布の紐が固くなり個人消費が冷え込んでいます。そこで消費喚起を促そうとクーポン券の発行を新たなビジネス戦略として採る企業が増えています。攻撃者はこうした動向も見逃しません。「イケア(IKEA)」、「ジャックダニエル(Jack Daniel’s)」、「ブリティッシュ・エアウェイズ(British Airways)」など著名企業がクーポン券発行を知らせるメールを装い、ウイルス配布サイトへの誘導を試みています。こうした手口では、ウイルス侵入のみならず、個人情報の搾取にも応用できるため、今後も注意が必要といえます。
今回紹介の事例はいずれも英語圏での出来事です。しかしながら、いずれも模倣容易なものであり、今後国内にて同様の事例が発生する危険性も考えられます。
このように、国外の事例を知ることは、正しい自衛策を講じる上で、有効な情報源の一つになり得ます。
スパムメールハイライト:日本語ブログ、インターネット・セキュリティ・ナレッジより
スパムメールハイライト:英語ブログより
- Just Got Unlucky: Part 3
- WALEDAC Loves (to Spam) You!
- “Dating Spam” Gone Wrong
- Fake Obama News Sites Abound
- Don’t be Fooled by Obama Inauguration Scams
- Scammers Attempt to Score Through the FIFA World Cup
- Microsoft and Trend Micro Logos Used in Spam
- Israel-Gaza Conflict Spam Leads to Malware
- What is Old is New Again: Malicious New Year e-Card Spam
- Once Again, Bogus Promos Used to Seed Malware
- ‘Classmates Reunion’ Used as Malware Ploy
スパムメールはウイルス感染のリスクやフィッシング被害に遭うリスクを高めるだけでなく、正当なメールとの仕分け作業によりユーザへ負担を与えたり、組織のネットワーク資源の圧迫、さらには不要なメールによりディスク容量が占有されるなど、大きな問題となっているのはご承知の通りです。
トレンドマイクロでは、クライアント環境での「スパム対策エンジン」(コンテンツフィルタリング)によるスパム対策のみならず、ゲートウェイでの4階層によるスパム対策を推奨しています。
- IP Profiler:メールアドレス収集攻撃(DHA:Directory Harvesting Attack)が確認されると、送信元サーバからの通信をブロックし、メールアドレスの流出を阻止する。
- IPレピュテーション:メールサーバの入口で送信元IPアドレスの信頼性を判断、スパムメールと認識したものは自動的にブロックする。
- IP Profiler:特定の企業や組織を狙うスピア型攻撃が確認されると、送信元サーバからの接続を自動的にブロックする。
- スパム検索エンジン:ヒューリスティックとパターンマッチングの技術を組み合わせて検出・隔離する
トレンドマイクロでは、引き続きスパムメール対策のソリューションを提供してまいります。
●メッセージングソリューション
企業のメールやグループウェアを保護します。
●ゲートウェイ対策
外部からの侵入や内部からの漏えいをインターネットの入り口で防ぐソリューションです。