3月の全体的な傾向
3月には、詐欺とフィッシングメッセージは全スパムメッセージ(迷惑メール)の17%を占めた。これは2月に比べ2ポイント減少。ハイチとチリでの大地震以降、スパマーの悪用の対象となるような自然災害は起きておらず、スパマーは、イースター(復活祭)休日のような、季節ネタを悪用したスパムに注力している。スパムメッセージのサイズ別カテゴリでは、5KBから10KBのスパムが2月比で10%以上と大幅に増加しており、これは添付ファイルスパムの増加が原因であるという。また、すべての電子メールにおけるスパムの割合は、2月が89.99%であったのに対し、3月は89.34%となった。
フィッシング攻撃の総量は、2月との比較で3%減少。この原因は、フィッシングツールキットで生成された攻撃の減少と、シマンテックでは分析する。フィッシングURLの9%がフィッシングツールキットを使って生成されており、これらは同様に35%の減少となった。
特定のURL、およびIPへの攻撃数は増加が見られる。特定のURLへの攻撃は2月比で1.5%、特定のIPについては4%近く増加。言語圏では、英語以外のフィッシングサイトは2月比で9%減少した。これは、2月大規模な攻撃のあったフランス語やイタリア語の攻撃数が減ったことによる。中国語の攻撃はわずかな増加に留まり、主に電子商取引の分野に見られる程度となった。
「2010 年 3 月迷惑メール件名 Top10」では、オンライン薬局スパムと一部のレプリカ製品スパムが大半を占めているほか、「News on myspace (myspaceのニュース)」や「Important notice: Google Apps browser support(重要なお知らせ:Google Appsのブラウザサポート)」のような紛らわしい件名を使っている。実際にユーザーが使っているサービスや馴染みのあるWebサイトからの通知である場合、ついメールを開きそうになってしまうが、日本でも同様の手口があるので要注意である。
電子決済ブランドへの大規模なフィッシング
3月には、世界中で銀行向けに小口電子決済サービスを提供している2つの主要ブランドに対してフィッシング攻撃が行われたという。これは特定のフィッシングサイト攻撃全体の4.4%を占める大規模な攻撃となった(フィッシャーは英語以外のフィッシングサイトも開発しており、その中でフランス語が最も多く使用された)。
このフィッシング攻撃では、件名に「your XXX card(あなたの*カード番号)4XXX XXXX XXXX XXXX:possible fraudulent transaction ID.(不正処理のおそれのあるID)」と書かれたスパムメールを顧客に送り、フィッシングサイトへと誘導する手法が用いられており、誘導先に2種類のフィッシングサイトが確認されている。
1つめは自動化フィッシングツールキットで作成されたものである。最も多く利用されたTLDは「.cz」で、これはチェコ共和国を表す。図1の例では、顧客は個人情報を「カード所有者用フォーム」ページに入力して偽の確認処理を実行するよう求められる。
図1 自動化フィッシングツールキットで作成されたフィッシングサイト |
2つめはIPドメインが付いた数種類のURLによる攻撃である。実際のIPは、米国のサーバーでホスティングされているものであった。特徴として、実際のURLは非常に長く、そのほとんどは(半角英数字で)700字以上にもなるという。これらのフィッシングサイトでは、顧客の個人情報を狙った攻撃が行われた。
.ruドメインURLを含むスパムは、引き続き増加傾向
前回までのスパムレポートでは、.cnドメイン(中国)URLを含むスパムの急激な減少、その一方で.ruドメイン(ロシア)URLを含むスパムメッセージの増加を指摘してきた。この原因は、中国インターネットネットワーク情報センター(CNNIC)が.cnドメインの登録を制限する措置を取ったことが大きな理由であるとする。しかしながら、.ruドメインのスパムメールの急増を見ると、スパマーらは.ruドメインに、とりあえずの避難先を見つけたと同社では分析している。現時点では、それが.cnドメインの抜け道を探すことをあきらめたものか、もしくは、現状の.ruドメインに満足しているか、そのどちらかであると推察される。
そのほか、地域別の分析では、EMEA地域が3月において世界全体のスパムのうち、2月比で1.5%増となる44.7%を送信している。スパム発信地域の「王」の地位を一層確固たるものとしている。EMEA地域では、上位10か国(オランダ、ドイツ、イギリス、ポーランド、フランス、ルーマニア、イタリア、スペイン、ロシア、チェコ)が地域全体のスパム量の62%以上を占めた。