2009年10月のハイライト

2009年10月のスパムメール(迷惑メール)の量は、電子メールメッセージ全体の87%であった。今月のもっとも目立った動きは、APJ(アジア太平洋地域および日本:23%) と南米(22%)を発信源とするスパムの増加と、それにともなうEMEA(欧州・中東・アフリカ)地域と北米発のスパムの減少が見られた点である。スパムのカテゴリに関しては、インタ―ネットスパムが7%増加し、スパムメッセージ全体の39%を占める。このカテゴリには、スパムの件名上位50位で、他を圧倒した学位取得系のスパムも含まれている。

EMEAのスパム王の座を脅かす新しい王子たち

これまでのスパムメールの送信国分布を振り返ってみよう。まず、2008年2月のスパムレポートでは、スパム全体の35.1%を占めるスパムが送信された北米を抑え、全体の約44%のスパムを配信した欧州地域がスパム発信源の新しい王座に就いた。2009年10月には、このEMEA地域の地位が、アジア太平洋および日本(APJ)地域と南米にとって代わりつつある。2009年10月には、以下の点が確認された。

・EMEAは、引き続きスパムの最大の発信源であり、同地域発のスパムは28%であった。これは、2009年6月から6%の減少となった。
・APJと南米を発信源とするスパムは、それぞれスパム全体の23%、22%を占め、北米を上回った。
北米発のスパムは全体の20%で、2009年6月から5%の減少となった。この南米およびAPJ地域から送信されたスパムの大幅な増加は大きな脅威でもある。しかし、その理由は、ここ数年の同地域におけるインターネット接続の急速な普及によってもたらされているともいえる。シマンテックの分析を以下にあげよう。
・スパムの量は、2008年2月と比べて大幅に増加した。この月のレポートによれば、2008年1月のスパムの量は電子メール全体の78.5%であった。これは、最高時で電子メール全体の93%、平均して87%を占めた2009年10月のスパムの量とは著しく対照的となった。
・配信ネットワークは、ブロードバンド化が進み、ターゲットとなるインターネットに毎日接続するユーザーが増えるにつれ、より動的になりつつある。配信経路も、スパマーが今や感染マシンからメッセージを直接送り付けたり、感染した PCを中継点として利用したり、Web メールや SMTP 認証を悪用したりと、ますます複雑化している。
・McColoなどの閉鎖後、ボットネットは引き続き陣取り合戦を展開している。ハッカーがAPJや南米などの一部地域で発展するITインフラをターゲットにしていることから、ボットネットの量は増加の一途をたどっている。
・スパムの発信源の国別ランキングを2009年6月と2009年10月で比較すると、インド、台湾、タイ、チリなどの国が大きく順位を上げている。ベトナムは13位もランクを上げ、スパムの発信数で第3位に入った(図1)。v

図1 スパムの国別ランキング

・最後に留意すべき点として、インターネット上におけるスパムの性質は、メッセージの送信者の居どころを特定するのが難しいことを示している。多くのスパマーは、自分たちの実際の地理上の居場所に対する注意や関心をそらす行動をとっている。

スパムに占めるマルウェアの割合は引き続き増加傾向

10月は、スパムメッセージ全体の平均1.9%にマルウェアが潜んでいた。2009年9月から0.6%の増加している。2009年10月号のスパムレポートで報告したように、電子メール全体の87%がスパムであることを考えると、0.6%の増加とは言え、このマルウェアの増加率も軽視できない兆候といえるだろう。マルウェアが添付されているスパム電子メールのメッセージサイズの増加もネットワークやハードウェアの負担を重くする。また、マルウェアが添付されたスパムメールで、受信者のパスワードがリセットされたという内容のFacebookからの通知を装ったものが観測された(図2)。

図2 パスワードがリセットされたというスパムメール

メッセージには、悪質なexeファイルのzipファイルが添付されている。シマンテックの分析によれば、このexeファイルはTrojan.Bredolabというトロイの木馬型のウイルスである。このBredolabの変種は、ロシアのドメインと接続しており、感染したマシンはおそらくBredolabボットネットに組み込まれる可能性があるとのことである。

ソーシャルネットワーキングWebサイトのユーザー、マルウェアとフィッシングの攻撃の的にソーシャルネットワーキングサイト、Facebookのユーザーを狙ったスパム攻撃のほか、10月にはFacebookに対するフィッシング攻撃も確認された。図3のメッセージは、本物のFacebookの招待メール、またはパスワードリセットメールを装ったものである。

図3 Facebookに対するフィッシング攻撃

メッセージ内の更新ボタンにカーソルを合わせると、フィッシングサイトのURLが表示される。ユーザーはおそらくFacebookに似たフィッシングサイトにリダイレクトされ、そこでパスワードを入力してアップデートを完了するように求められる。しかし、もしユーザーがこのページにログインしようとすれば、ユーザーのパスワードが盗まれてしまうのである。また、使われた件名には、次のようなものがあった。

・Facebook account update(Facebookアカウントアップデート)
・New login system(新しいログインシステム)
・Facebook Update tool(Facebookアップデートツール)

このように、フィッシング攻撃と特定することが容易にできるであろう。スパマーは相変わらず正規の送信者の信用を隠れ蓑として行動する。シマンテックでは、大きなユーザー基盤を抱えるソーシャルネットワークサイトは、今後も悪質なフィッシング攻撃のターゲットとされると注意を喚起している。また、今後クリスマスや新年を迎え、ホリデースパムも活発化している。以下のようなホリデースパムも確認されている。

図4 クリスマスと新年を利用したホリデースパム例1

図5 クリスマスと新年を利用したホリデースパム例2