今月の傾向

3月に全世界で送信された電子メールに占めるスパムメール(迷惑メール)の比率は前月より5%上昇した。2008年11月に、ボットネット運営者に接続サービスを行っていたホスティング事業者「McColo」の閉鎖により、スパムメールは約40%減少した。しかし、ここにきて、閉鎖前の91%となり、以前の水準に戻りつつある。ボットウイルスに感染すると、スパマーや悪意を持った攻撃者によって、PCが遠隔操作されてしまう(そうなってしまったPCをゾンビマシンなどと呼ぶ。そして、ゾンビPCで構成されたネットワークをボットネットと呼ぶ)。ゾンビマシンは、ユーザーが気付かないうちにスパムの送信や宣伝など様々な犯罪目的に使用される。ゾンビマシンの最近の調査結果は、表1のとおりである。

表1 ゾンビマシンの国別トップ10

2008年9月 2009年3月 増減
ブラジル 9% 14% 5%
ロシア 8% 7% -1%
インド 6% 6% 0%
米国 6% 6% 0%
トルコ 12% 6% -6%
ポーランド 4% 4% 0%
ドイツ 5% 4% -1%
アルゼンチン 4% 3% -1%
スペイン ランク外 3% -
イタリア ランク外 3% -

全体的には2008年9月の検出結果と同様の結果となった。EMEA(欧州、中東、アフリカ)諸国がゾンビマシンのIPアドレスの主な発信源となっており、活動中のゾンビマシンの45%を占める。ブラジルが5ポイント増加して14%になり、No1.ホスト国となった一方で、トルコが12%から6%(3位)に半減している。

また、スペインとイタリアがそれぞれ3%でランクインしてきた。インドや中国などでは、今後もITインフラへの投資が活発化していることにより、ゾンビマシンは増加し、さらなる変動も予測されている。

住宅不況におけるスパマーの戦略

2008年秋からの金融危機に端を発した世界不況は、住宅関連にも大きな影を落としている。スパマーはそこを狙い、住宅ローンなどの用語をちりばめたスパムメールを送りつけてきている。この手口の特徴は、金銭や個人情報の窃盗を目的とした機能増強スパムやフィッシングスパムが増えていることである。

また、従来は抵当流れの物件を利用した儲け話を持ちかける内容が多かったことに対して、最近では差し押えの回避を訴えるものが増加している。不況の状況に合わせ、スパムメールも巧みに変化している姿が見える。住宅ローンに関するスパムメールの件名には、次のようなものが報告されている。

  • 大きな手形は成功の担保
  • 全国の住宅差し押え物件リスト、郵便番号で検索
  • 住宅ローンの混乱:30秒で解決!
  • 差し押えを防げ

Confickerワームの落とし穴、偽ウイルス対策ソフトに要注意

2008年末から猛威をふるうConficker(別名Downadup)ワームが、4月1日に新たな脅威活動を開始するという憶測が世界中で飛び交い、話題になりました(事実、注意を発したセキュリティ対策ソフトウェアベンダーもあった)。まさにエイプリールフールではないかとも囁かれたが、当日は、大規模な攻撃が発生することもなく、1週間以上が過ぎた。

しかし、スパマーはこのような機会も、しっかりと悪用していたのである。3月にはConfickerの脅威からユーザーを守る最新のウイルス対策ソフトを売り込むスパムメールが多発した。なかには、シマンテックのノートンアンチウイルス 2009に酷似したものまで存在した。シマンテックのWebサイトにそっくりなページや、Spybot、Kaspersky、AVGなどのウイルス対策ソフトとの比較を掲載しているサイトなどから購入ページに誘導される。支払い後になんらかの製品が入手できるのかは現時点では不明だが、恐らく不正なアプリケーションあるいは海賊版であることが予測される。

図1 Fake Antivirus Softwareのアップデートを騙るスパムメール

「身近でテロ発生!」地理位置情報サービスを活用したマルウェアスパム

地理位置情報サービスを使って受信者に対し、テロ発生や安全確保を警告するマルウェアスパムが報告されている。テロ発生地域は受信者の位置ごとに異なるうえ、信ぴょう性を高めるために大手ニュース配信サービスのロゴが貼られていた。スパムメールにはテロに関する簡単な説明のほか、ビデオコンテンツなどのリンクがつけらえている。

慌てて安全確保を求めたり、好奇心にかられてクリックしてしまうと、本物のマルウェア攻撃に受ける仕組みになっている。決してクリックしてはいけない。テロ関連のスパムメールの件名には、次のようなものが報告されている。

  • 今朝、サンパブロで爆発発生
  • 今朝、プーナで爆発発生

図2 サンパブロで爆発発生を騙るスパムメール