今月の傾向

シマンテックの月例スパムレポートによると、マルウェアとスパムメールの関連性に注意を喚起している。スパマーは、スパムメールの送信のみならず、メールに悪意を持った添付ファイルを付けることで、より攻撃性を強めている。2008年8月における、全スパムメールの10%に、悪意を持った添付ファイルがあった。添付ファイルの取り扱いについては、一層の注意をすべきであろう。

全体的なスパムの水準は、2008年8月の調査でもメールの80%をスパムが占めているように、引き続き高い水準を維持している。9月のレポートでは、以下のような内容を扱うスパムメールが見られた。

  • 米国大統領候補のマケイン氏、パリス・ヒルトンを副大統領候補に指名
  • スパム内の悪意のあるコードを隠すためにロシア・グルジア紛争関連ニュースが利用される
  • マルウェア+スパム+フィッシング=金融機関に対する脅威
  • 求職者:ウイルスを含む偽の求人広告にご用心
  • マルウェア送付に物流会社の小包を悪用
  • 航空チケットを悪意のあるコードとスパムメールを結び付ける
  • オリンピック関連スパムメール、8月以降も続く

これらのなかで特徴的なものを取り上げよう。

オリンピック関連スパムメールはオリンピックが終わっても続く

8月下旬にオリンピックは終了したが、オリンピックをテーマにしたスパムは続いている。オリンピックを引用したものとして、次のようなスパムメールが送られてくる。

あなたのパートナーや愛する人にきれいな贈り物をしませんか。
もしくは、あなた自身に一度、ご褒美として贈り物をしてみませんか。
私たちはロレックスなど5000以上の模造品を揃えています。

このスパムメールでは、ややもすると英文がいいかげんであったり、メッセージの内容が不明瞭であったりもする。しかし、スパマーは、彼ら独自の方法でこの悪意に満ちた行為を続けている。

スパム内の悪意のあるコードを隠すためにロシア・グルジア紛争関連ニュースが利用される

グルジアとロシアの紛争は、今も記憶に新しい。このような世界情勢もスパマーには絶好のチャンスである。この機会に乗じて、ニュース記事を装ったマルウェアスパムを配信したのである。紛争関連情報を装ったスパムメールには、悪意のあるコードが含まれており、さらなる拡大の危険性が懸念される。メールの本文メッセージには、添付書類をダウンロードするための説明書とパスワードを含んでいる。件名は「グルジアでジャーナリストが撃たれた」となっている。 スパムメールの常套手段であるが、件名で注意を引きつけることで、受信者がリンクをクリックし、ビデオを見るように誘惑するソーシャルエンジニアリング手法を取っている。しかし、添付ファイルにはビデオは含まれておらず、代わりにTrojan.Popwinと確認されているウイルスがダウンロードされるリンクへと誘導している。

マルウェア+スパムメール+フィッシング=金融機関に対する脅威

8月には、新たな悪意を持った攻撃も報告されている。ある金融機関が標的となったものだ。スパムメールの本文には、金融機関が、詐欺や個人情報の盗難に対する新しいセキュリティ対策を施していると受信者に知らせるものであった。本文には、セキュリティ対策は義務であり、短時間で導入されるので、すぐさま対処するようにと記載されている。本文には、添付のプログラムをダウンロードすると、ユーザーはこのセキュリティ対策を入手できるとある。もちろんこれは偽物である。

スパマーは通常、受信者に偽のURLリンクに導き、ユーザーのアカウントをアップデートするように仕向けるのだが、今回のように異なるアプローチを取っていることに要注意であろう。

航空Eチケットを悪意のあるコードとスパムに結び付ける

マルウェアとスパムメールを関連付ける事例を紹介しよう。航空会社のEチケットを利用したものだ。この攻撃は、受信者に「オンラインでのチケット購入」サービスを利用したことに対しての感謝と添付のメッセージが領収書と航空チケットで送られる。次のような内容である。

こんにちは。
新しいサービス「Buy flight ticket Online」をご利用いただき、ありがとうございます。あなたのアカウントが作成されました。

 ログインID:xxxxxxxxxxx
 パスワード:passGKXO

 あなたのクレジットカードに473.24ドル請求いたしました。
 弊社のWebサイトをご利用いただいたことで、毎回10%ディスカウントされることを重ねてお知らせいたします。
 このメッセージに添付されているのは、領収書と航空チケットです。チケットを使うためには、カラーでプリントアウトするだけで、旅行への準備は万全です。

しかし、zipファイル形式で添付されているEチケットの請求書は、Infostealer.Monstressというトロイの木馬であり、ファイルを開くことで感染してしまう。8月16日には、このトロイの木馬は、求人Webサイトで、数100万という個人情報をターゲットにしていた。