「TrendLabs(トレンドラボ)」では、2014年1月以降、日本やアジアで人気のメッセンジャーアプリ「LINE」から送信されたように偽装したスパムメールを継続して確認しています。こうしたスパムメールのメッセージ内に記されている URL を誤ってクリックすると、「ID-BBS」という名前の出会い系 Webサイトに誘導されることになります。
問題のスパムメールは以下の特徴を備えていることが判明しています。
- 送信元Eメールアドレスのドメインとして、「LINE.com」や「Lineid.com」、「Line.ne.jp」のように「LINE」であることを匂わす場合や、LINE の ID検索を彷彿とさせる「idkensakubbs.jp」や「lineidkensaku.ne.jp」が利用されている。最もよく利用されているドメインは、誘導先の出会い系 Webサイト名である「idbbs.com」となっており、一部は他のメッセンジャーアプリの名前も悪用している
(なお、LINE の公式 Webサイトは、「http://line.me/」) - 件名は、「LINE」という文字列が含まれている
- メッセージには、「友達申請」が届いており、「承認」する必要があるとして、メッセージ内のURL をクリックするように促している
- メッセージ内の URL は、「http://<10桁のランダムな英数字>.asia」
 |
|
|
 |
|
|
- スパムメール送信元アドレスの地域別は、以下のとおりとなります。
 |
|
|
一方、これらスパムメールから誘導される出会い系サイトは、上述のとおり、10桁のランダムな英数字にトップレベルドメインとして「asia」が使われています。「asia」は、スポンサー付きトップレベルドメインで、アジア太平洋地域の企業向けに使用されています。また、こうした URL は、同一の IPアドレス「<省略>.<省略>.170.37」で運営されていることが確認されており、whois情報から台湾にホストされ、日本人の名前で登録されていました。また、この IPアドレスのドメイン・ネーム・サーバは、過去にスパムメールを送信するサーバとして確認されていたものでした。
問題の URL へのアクセス数は、以下のとおりとなっています。
 |
|
|
なお、問題の出会い系 Webサイトの URL の一部は、既にアクセスできなくなっています。
LINE を偽装するスパムメールからの誘導先としては、出会い系 Webサイトのみを確認しています。不正プログラムやフィッシング詐欺などより直接的な攻撃へ誘導される事例は、現時点では確認していません。しかし、こうしたスパムメール送信の背後にいるサイバー犯罪者が誘導先として不正な Webサイトにすり替える恐れがあります。
トレンドラボでは、現時点も継続してこの種のスパムメールを確認しています。万が一こうしたスパムメールや類似したメールを受け取った場合、ただちに削除してください。また、LINE などソーシャルメディアで友達を追加する場合、実際の「友人」のみを承認するように心がけることを強く推奨します。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のによってこの脅威から守られています。「E-mailレピュテーション」技術により、当該メールをスパムメールとして検出します。さらに「Web レピュテーション」技術により、関連Webサイトへのアクセスをブロックします。
※協力執筆者:Mary Ermitano-Aquino および Arabelle Ebora
