「LinkedIn」や「foursquare」など人気SNSを悪用するスパムメールに注意

「TrendLabs(トレンドラボ)」は、2012年4月22日以降、「LinkedIn」や「foursquare」、「Myspace」、「Pinterest」といった人気ソーシャル・ネットワーキング・サービス(SNS)からの通知を装ったスパムメールを確認しています。これらのスパムメールは、偽の医薬品販売 Webサイトや詐欺サイトなどに誘導するリンクが記載されていました。また、これらの SNS の名前を含むメールアドレスを利用して正規のメールに見せかけていました。サイバー犯罪者は、こうした人気 SNS の ”知名度” を悪用して、次々と罠を仕掛けているのです。

■「foursquare」からを装った偽のメール通知
トレンドマイクロは、位置情報を活用した米国発の人気 SNS「foursquare」からの通知に見せかけたスパムメールを複数確認しています。弊社が確認した事例の1つはメッセージが届いたというメールの通知を装い、他の事例では友達の承認通知を装っていました。

図1:「foursquare」からの通知を装う偽メール
図1:「foursquare」からの通知を装う偽メール

これらのメールは、送信者欄には「noreply@foursquare.com」というアドレスを使っており、正規の通知メールのような「Message-ID」が記載されていました。過去に確認したスパムメール活動と同様に、スパム送信者は不正な URL をハイパーリンクを用いて隠ぺいしています。メールに記載されたリンクがクリックされた場合、図2 のようなハイパーリンクされた「Link」の文字以外は空欄の Webページに誘導されます。そして最終的に、バイアグラなどを販売する偽の医薬品販売サイトに誘導されることになります。

図2:最初に誘導されるWebページ
図2:最初に誘導されるWebページ

図3:偽のカナダの医薬品販売サイト
図3:偽のカナダの医薬品販売サイト

■「LinkedIn」と「Myspace」からを装った偽メール、「Wiki Pharmacy」に誘導
また、トレンドラボの Neil Pondo は、「LinkedIn」および「Myspace」から送信されたように装ったスパムメールを確認。LinkedIn とはキャリアアップやビジネスのネットワーク構築を目的とした SNS で、Myspace とは人気の音楽や動画、ライブ情報といったエンターテイメントを通じて交流する SNS です。

図4:「Myspace」からの通知を装う偽メール
図4:「Myspace」からの通知を装う偽メール

図5:「LinkedIn」から送信されたように装う偽メール
図5:「LinkedIn」から送信されたように装う偽メール

図4 および図5 のスパムメールは、同 SNS からの確認メールとして偽装。スパムメールには、それぞれの SNS にアクセスすると見せかけたリンクが含まれています。

「foursquare」の偽メールと同様に、これらのメールは、それぞれ「emailconfirm@linkedin.com」や「noreply@message.myspace.com」といった同SNSの名前を含むメールアドレスを利用しており、偽LinkedIn ではメールアドレス確認のために、偽Myspace ではアカウントの登録解除のために、メール本文内のハイパーリンクされている URL をクリックするよう促しています。

トレンドラボによる解析の結果、送信者情報は偽装されていることが判明しました。そしてもちろん、このメールが LinkedIn や Myspace から送信された正規の通知メールであることを示す情報について何も特定することはできませんでした。さらに、ハイパーリンクされた URL の実際のリンク先は、偽Webサイトである「Wiki Pharmacy」に誘導することも確認しました。

図6:偽Webサイトである「Wiki Pharmacy」
図6:偽Webサイトである「Wiki Pharmacy」

■「Pinterest」を装う偽メール、詐欺サイトへ誘導
お気に入りの画像や動画をスクラップして共有する「Pinterest」の人気が高まりつつある中、サイバー犯罪者たちも同SNSの人気を見逃さなかったようです。以前にも、Malware Blog 上で同 SNS の人気に便乗したアンケート詐欺について報告していますが、今回、Pinterest から送信されたように装う偽メールを確認。そのメール本文には、ダイエットに関するオンライン記事に誘導するリンクが記載されていました。このリンクを誤ってクリックすると、過去に確認した詐欺に関連する Webサイトへと誘導されることとなります。

図7:「Pinterest」から送信されたように装う偽メール
図7:「Pinterest」から送信されたように装う偽メール

■トレンドマイクロからのソリューションとは
トレンドマイクロの製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「E-mailレピュテーション」技術により、スパムメールがユーザのメールボックスに届くのを未然に防ぎます。また、「Webレピュテーション」技術は、このような攻撃に関連する不正なサイトへのアクセスを未然にブロックします。不審なメールには常に注意を払い、それらのメール内のリンクをクリックしたり添付ファイルのダウンロードは避けるようにしてください。

参考記事:

  • Email Scams Spoofing Social Networking Sites Peddle Malicious Sites
     by Michael Casayuran (Anti-spam Research Engineer)

    •  翻訳:太田 真理(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 「Blackhole Exploit Kit」とJavaの脆弱性の関連とは
    2. 2013年第1四半期のセキュリティ動向:「ソーシャル」、「クラウド」、「非Windows」
    3. ロイヤルベビー誕生に便乗 Blackhole Exploit Kit によるスパムメール攻撃を確認
    4. オンライン銀行詐欺ツール「ZBOT」:スパムメール経由でもっとも拡散した不正プログラム(2013年8月)