4月の全体的な傾向
まず注目したいのが、Dotted quad(IPアドレスURL付き)スパムメッセージ(迷惑メール)の数量が先月比で3倍以上となったことであろう。最も頻繁に確認されたスパムの件名もIPアドレスURL付きスパムとなった。スパムのカテゴリについては、4月は詐欺とフィッシングメッセージがスパム全体の17%を占め、3月に比べて大きな変化はない。また、メッセージ全体でスパムが占める割合は、3月が89.34%、4月は89.22%となった。
フィッシング攻撃全体では、先月比で33%の増加が確認された。この増加はフィッシングのあらゆる分野にわたり確認されている。フィッシングサイトの12%が自動化ツールキットを使って生成されており、先月比で77%の増加となった。特定のURLへの攻撃は先月比で29%、特定のIPへの攻撃は3%増加した。フランス語とポルトガル語での攻撃数が上昇したことにより、英語以外のフィッシングサイトは23%増加した。フランス語でのフィッシングは主に金融分野で見られ、ポルトガル語での攻撃は金融と情報サービス分野の組み合わせによるものであった。また、108の無償Webホスティングサービスが利用され、全フィッシング攻撃の10%を占めた。
IPアドレスURL付きスパムの詳細
IPアドレスURL付きスパムは、スパムURLにドメイン名ではなく、ドットで4つに区切った数字によるURLアドレスのリンクが本文に使われているものである。具体的には、URLにdomain.comを使うのではなく、IPアドレス(http://255.255.255.255)を使うものである。以下は、IPアドレスURL付きスパムメッセージを含むHTMLコードである。
<div>Having trouble viewing this email? <a href=http://[IP アドレスは編集済み]/vassal73.html target="_blank">View it in your browser</a>.</div>
「電子メールの表示に問題があれば、ブラウザでご覧ください」とあり、メッセージに提示されたリンクをたどると、ユーザーは図1のWebサイトに誘導される。
ブラウザのアドレスバーに見られるように、ユーザーはメッセージに提示されたリンクをクリックするともう1つのWebページへリダイレクトされる。しかし、ユーザーが最終目的地のページに到達する前に手順がもう1つ隠されている。メッセージに提示されたURLのソースコードを詳しく調べると、このページ(http://[IPアドレスは編集済み]/vassal73.html)は他のWebサイトでホストされているスクリプトをロードしている。
<html><head><script>location = 'http://[ドメインは編集済み]:8080/';</script></head></html>
結果、このスクリプトによりユーザーを指定されたWebサイトに誘導する。この例では、リダイレクトは2つしか存在しない。しかし、スパマーがより多くのリダイレクトを仕込む危険性もある。近年、スパム対策テクノロジの進歩により、基本的なフィルタでもメッセージ内にあるURLに基づいてスパムメッセージをブロックすることが可能である。したがって、"spam"のようなドメインをURLとして持つメッセージでは、URLフィルタによってメッセージがブロックされる可能性が高い。しかし、スパマーが上記のリダイレクトを使用すると配信に成功する可能性が高くなるのである。
スパマーは乗っ取られたサーバー、あるいは危殆(ゾンビ)化したサーバーを使用し、ユーザーを目的のWebページ、または別のリダイレクトに誘導するための小さいhtmlファイルを配置する。さらに、これらのスパムメッセージを送信するために、スパマーは危殆化したホストも使用し、そのホストの良いという評価を利用する。この2つの戦術を組み合わせることで、メッセージが従来のフィルタや評価型フィルタをすり抜ける可能性が高くなり、配信率が高まるという仕組みである。
偽のファストフード満足度調査
今回確認されたフィッシング攻撃で、有名ファストフードブランドに対する攻撃があった。攻撃では、偽の顧客満足度調査に回答を求めるスパムメールを通じて実行された。そのファストフードブランドは世界で最も人気の高いブランドの1つであり、スパムは世界中に送信された。スパムメールには、サービス品質向上のためレストランチェーンに大幅な変更を加える予定だと書かれている。さらに、このような変更を実施するためには顧客の意見を調査で得る必要があるとし、参加者に謝礼を提供すると称して顧客をだまそうしている。スパムメールには、偽調査のあるフィッシングサイトに誘導されるリンクが含まれていた。
次の例では、8つの簡単な質問による調査に参加する顧客に80ドルの謝礼を提供すると称したフィッシングサイトである。調査を終えると、Webページは偽のユーザー認証ページにリダイレクトされ、顧客に偽の謝礼を振り込むという想定でクレジットカード番号、PIN番号などの個人情報の入力を求められる。
図3の例では、ユーザー認証後3営業日内に謝礼が振り込まれ、顧客の口座履歴にその結果が反映されると騙る。
「母の日」に便乗したスパムメール
5月といえば、母の日である。当然のことながら、この日にに合わせて、スパマーは図4のように、さまざまな製品関連スパムメッセージを送信している。