シマンテック月例スパムレポートは、シマンテックのSymantec Messaging and Web Securityチームによって作成され、特にスパムに関する事例をまとめ、報告している。本稿では、そのレポートの内容について紹介する。

まずは、2008年5月は、スパム誕生30年とのことである。スパム(迷惑)メールの猛威は相変わらず続いており、そのためのさまざまな損害をみるに、いかに無駄なことが繰り返され続けてきたのかを改めて感じる。2008年4月におけるすべての送信メッセージにおけるスパムの割合は平均80%を占め、ピーク時は87%に達するとの報告がなされている。以下では、報告された特徴的なスパムの実例を紹介する。

スパム攻撃者がGoogleを悪用

これまでもスパム攻撃者にとっては、Googleが格好の目標となっていた。アドバンストサーチクエリを操作、AdSense(Googleのバナークリック型広告システム)に使用されるGoogle URLでパラメータを操作するなどして、みずからのスパムサイトへ誘導するものである。

2008年4月には、Google AdWordsサービスの偽名義を使用したフィッシング詐欺メールが出現した。Google AdWordsは、検索結果の右側に出る広告で、検索結果から直接ユーザーをみずからのサイトへ導くものといってもよい。今回のGoogle AdWordsを利用したフィッシング詐欺では、ユーザーの支払い情報をアップデートする、もしくは、ユーザーの口座を更新するためにリンク先をクリックするよう促すものであったとのことである。これらのフィッシング詐欺メールによるリンク先では、個人情報などが不正に奪われることになる。

Googleのような著名サイトを利用するフィッシング詐欺では、ブランドイメージを悪用しているものが少なくない。ユーザーの安心感を逆手にとっているのである。

特定の個人を狙うスピアフィッシング

これまでフィッシング詐欺では、不特定のユーザーにメールを送り付けるものがほとんであった。最近は、特定の個人や組織を狙うスピアフィッシングが報告されている。実際に2008年4月の事例を紹介しよう。

米国で、連邦地方裁判所を装ったものである。メールには「下記の場所、日時に、合衆国連邦地方裁判所に出廷し、大陪審に証言するよう要請する」と記載されいたとのことである。さらに、メールには「次のリンクに従い当該問題について記載されている全文章をダウンロードし、記録として保管してください」と記載されており、不正なリンクが添付されていた。このメールの指示通りにダウンロードを行うと、キーロガーが仕込まれたトロイの木馬がダウンロードされるようになっている。これにより、個人情報やパスワードが盗み出されるということになる。

上述の著名サイトを偽ったフィッシング詐欺同様に、いかにも公的な業務を装い、さらあにそれに関連するユーザーを対象にしている点が、巧妙である。スピアフィッシングは最近、増加傾向にあるとのことである。

インスタントメッセンジャーのプレゼントを使った新たな手口

今月、報告された新種のスパム攻撃について紹介しよう。この新種のスパム攻撃は、インスタントメッセンジャーを利用している。インスタントメッセンジャーは、インターネット上で、オンライン中のユーザーがチャットやファイル転送を行う仕組みである。最近では、ビジネスなどでも電話などの代わりに利用される機会が多くなっているサービスの1つである。

今回報告された事例では、メッセンジャー内の友人リストを検索し、不要な人物の連絡先を削除する機能を提供する「プレゼント」を装うとのことである。削除したオンライン上の友人・知人リストを盗み出せば、そのユーザーの個人情報だけでなく、知人・友人についても盗み出せるのである。

メールの受信者は、URLをクリックすると、インスタントメッセンジャー上の受信者の名前が削除された場合には通知されるようになる。さらに、受信者はユーザー名やパスワードを入力するように求められる。この手順で、スパムメールは、ユーザ名およびパスワードを盗み取るのである。その背景には、多くのユーザーがインターネット上でも、普段の利用するユーザー名やパスワードを使いまわしていることにある。つまり、インスタントメッセンジャーのパスワードも、普段利用するパスワードも同じものであることがほとんどである。パスワードを使い分けることが求められる事例ともいえるだろう。

カレンダースパム

2008年4月に、報告されたスパムに、カレンダースパムがある。会議やその他のスケジュールの会議通知メールをユーザーに無断で送る。カレンダーには、毎日会議が行われるように設定され、フィッシング詐欺のリンクが埋めこまれる。この予定を参照すると、メールなどのあらゆる手段を使ってリマインダが送信される。

カレンダースパムは、4月には、事例として数自体は多くないとのことである。発見された事例では、ナイジェリア発の詐欺スパム(別名419)と関連性が指摘されている。このスパムは「419スパム」と呼ばれ、信用詐欺を禁止しているナイジェリア刑法の条項番号に由来するものである。