6月の全体的な傾向

2010年6月のスパム状況は明確なマルウェアスパムの増加が観測された。これは、法的措置によってゾンビネットワークを失ったスパマーが、その埋め合わせをしたと推察される。2010年は、マルウェアスパムが急増しても、スパム全体に占める割合は3%程度であった。しかし、6月13日には12%、6月3日、15日には5%を超えた数値を観測している。

メッセージ全体でスパムが占めた割合は、5月が89.81%、6月は88.32%となった。フィッシング攻撃の総量は、約25%増加した。この増加はフィッシングのあらゆる分野において観測された。自動化フィッシングツールキットを使って生成されたフィッシングサイトは倍増し、5月比で123%の増加となった。特定のURLに対する攻撃は先月比で12%増加。減少を示したのはIPドメイン(たとえば、http://255.255.255.255/のようなドメイン)を持つフィッシングサイトの分野のみで、先月比で約2%減少した。

Webホスティングサービスはフィッシング全体の11%を占め、これは先月比で26%の増加となった。英語以外のフィッシングサイトは15%増加し、6月はフランス語とイタリア語が引き続き上位を占めた。フランス語でのフィッシング攻撃は主に電子商取引の分野で見られ、25%の増加。

2010年FIFAワールドカップでのスパム攻撃は9倍以上増加

すでにスペインの優勝で幕を閉じた南アフリカで2010 FIFAワールドカップであるが、スパマーはこの世界的なイベントに便乗し、スパム活動を活発に行っていた。シマンテックによれば、2006年のドイツワールドカップと今大会との大きな違いが見られたとのことである。特徴的なのが、ワールドカップ関連の単語を件名に含むメッセージの数は、2006年の大会時より9倍以上も増えている点である。シマンテックの「Spam Street Journal(スパムストリートジャーナル)」のランキングでも明確に表れている。最近のニュースヘッドラインと一致するスパム件名のトップ10は次の表のとおりである。

表 最近のニュースヘッドラインと一致するスパム件名

順位 件名
1位 FIFA World Cup South Africa bad news(FIFA ワールドカップ南アフリカでの悪いニュース)
2位 World Cup: Uruguay Beats South Korea 2-1(ワールドカップ:ウルグアイ、韓国を 2-1で下す)
3位 Germany beats England 4-1 in World Cup(ワールドカップでドイツがイングランドを4-1で下す)
4位 ONGOING FIFA WORLD CUP LOTTERY SOUTH AFRICA 2010(2010年南アフリカワールドカップサッカーくじ)
5位 World Cup: Germany Defeats England 4-1(ワールドカップ:ドイツ、イングランドを4-1で下す)
6位 SOUTH AFRICAN WORLD CUP 2010(南アフリカワールドカップ2010
7位 Oil spill teams keep wary eye on storm in Gulf(原油流出対策チーム、メキシコ湾の嵐の状況に注視)
8位 World Cup: Argentina Beats Mexico 3-1(ワールドカップ:アルゼンチン、メキシコを3-1で下す)
9位 Ghana beat US, reach first World Cup quarter-final(ガーナが米国を下し、ワールドカップ初の準々決勝進出)
10位 World leaders slam North Korea, Iran(世界各国首脳、北朝鮮とイランを非難)

7位と10位を除き、すべてがワールドカップに関連した件名となった。このランキングから、最新のイベントやニュースに関連した件名を使用することで、ユーザーがメッセージをおもわず開きたくなるような工夫をしているということがうかがえる。

FIFAの特典を装う詐欺ゲームサイト

これもFIFAワールドカップ絡みであるが、有名なオンラインゲームを装ったフィッシングサイトが複数確認された。FIFAワールドカップの人気が高まるにつれ、ゲームサイトでもオンラインサッカーゲームが人気となった。確認されたフィッシングサイトは、FIFAワールドカップ2010記念と称した偽の特別キャンペーンを装い、ユーザーのログイン用のアカウント情報を狙うものであった。

2つの例を紹介しよう。まず1つは、無料版と有料版の2種類のオンラインゲームを提供している正規のWebサイトを装ったものであった。ここでは「FIFAワールドカップ2010」のキャンペーン特典として、複数の有料版ゲームの中から1タイトルを無料で提供すると謳う内容であった。この偽のキャンペーン特典には、ゲームのほかにも、プレイヤーグループの作成、チャットへの参加などの機能も含まれていた。そして、ゲームに無料でアクセスする条件として、電子メールアドレスのログイン情報を入力することをユーザーに求めた。

もう1つは、オンラインポーカーで有名なゲームサイトであった。このゲームブランドは、人気のソーシャルネットワークサイトの付属アプリケーションとして提供されている。ここでは、FIFAワールドカップサッカーくじの1億1,000万ドルの賞金当選者は「あなたです」というメッセージでユーザーの目を引き、電子メールアドレスとパスワード、ボーナスコードの入力を求めた。これらの情報を入力すると、個人情報がフィッシャーによって収集され、本物のWebサイトへ誘導される。

今月のスパムモンスター(最も迷惑なスパム)

今月のスパムモンスターは医療関連の画像スパム攻撃であった。

図1 医療関連の画像スパム攻撃例(同社レポートより)

その理由は次のとおりである。

  1. 電子メールのヘッダーが次々に変更され、よく見られる正当なパターンがヘッダに使用されている
  2. 件名だけでなく、メッセージ本文にも難読化やランダム化が行われている
  3. 画像の難読化が次から次へと行われている

画像スパムについて振り返ってみよう。まず、初期のスパムには画像スパムは存在しなかった。スパマーは、テキストベースのメッセージで満足しており、画像を含むスパムメッセージの送信には通信コストがかかるため敬遠されていた。

ところが、ゾンビネットワークモデル(スパマーが制御する、感染したマシンのネットワーク)が生み出された結果、スパマーにとって画像を含んだスパムの送信は魅力的なものへと変貌する。しかし、当初は画像スパムもそれほど巧妙なものではなく、送信されていたのは難読化もされていないただの画像であった。また、本文にはオンライン医薬品サイトへのURLが記述されているだけであった。

図2 初期の画像スパム(同社レポートより)

ところが、2009年4月から状況が変わり、スパマーたちは、画像の背景へ直線を追加したり(図3)、本文中ではなく画像にサイト情報を埋め込むなどの手法を使うようになる。

図3 画像の背景に直線を追加(同社レポートより)

2009年6月になるとスパマーは戦術を変え、図4のような一見変わった画像を使うようになる。

図4 波状の幾何学模様が追加(同社レポートより)

背景に波状の幾何学模様でさらなる難読化が施されている。背景に波状の幾何学模様を施すこの手法は、図1でも使われているものだ。

記念日に便乗するフィッシャー

この2、3か月、Googleが運営するソーシャルネットワーキングサービスであるOrkutを装ったフィッシングサイトが確認された。フィッシングサイトは、記念日のお祝いに便乗する手口を用いている。注意が必要なのは、これらのフィッシングサイトは、本物のGoogleやOrkutサイトにセキュリティ上の問題があることを示すものではなく、ユーザーをだまして個人のセキュリティ情報を入手することが目的としている。

本物のソーシャルネットワーキングサイトでは、最新のトレンドに合わせてロゴを変更し、フェスティバルや記念日を宣伝する。たとえばGoogleは、アースデイを記念してアースデイ記念のdoodle(ホリデーロゴ)をOrkutのロゴに使用する。フィッシングサイトでは、アースデイ、母の日、ブラジルのカーニバルなどに合わせ、特殊ロゴで偽装する(図5)。

図5 ロゴを偽装したフィッシングサイト(同社レポートより)

ロゴを偽装することで、詐欺サイトが本物であるかのように見せ、ユーザーがフィッシングURLを疑わしく感じた場合でも、安全なサイトと錯覚させているのだ。不正サイトの主な目的はユーザーのログイン用アカウント情報を入手であった。発見されたフィッシングサイトの多くはポルトガル語で、ブラジルでOrkutの人気が高いことが理由とされている。