7月の全体的な傾向
医療関連スパムが、先月から13%上昇した。これらの医療関連スパムには、オンライン薬局や不正医薬品を宣伝するメッセージが含まれている。平均的なメッセージサイズについては、10KB以上のメッセージが9%減少している。これは、マルウェアを添付したスパムの減少が一因と分析する。メッセージ全体でスパムが占めた割合は、6月が88.32%であったのに対し7月は91.89%となった。 7月のフィッシング攻撃の総量は、先月比で5%減となった。自動ツールキットで作成されたフィッシングWebサイトは60%減少し、特定のURLに対する攻撃は6月から10%増加した。IPドメインのフィッシングWebサイト(http://255.255.255.255のようなドメイン)も48%減少した一方で、Webホスティングサービスはフィッシング全体の15%を占め、先月から25%上昇した。
原油流出事故や経済関連の件名のスパムが増加
先月のレポートでは、複数のプロバイダからニュースヘッドラインを集め、シマンテックのグローバルインテリジェンスネットワークが集計した件名と比較した「Spam Street Journal(スパムストリートジャーナル)」を紹介した。独自アルゴリズムを使ったこの分析では、その件名とニュースのヘッドラインとの類似性やメッセージボリュームなどをもとにランキングを決定する。2010 FIFAワールドカップが佳境を迎えた6月は、ワールドカップに関連する件名がSpam Street Journalの上位10位中8位を占めた。しかし 7月に入ると、スパマーの関心は原油流出事故や経済関連などの最新イベントへ変わってきている。
ライブチャットにフィッシャー?
シマンテックによると、電子商取引ブランドのライブサポートになりすますフィッシングWebサイトが確認された。ライブサポートは多くの正規ブランドで活用されており、顧客はこのツールを使いサポート担当とオンラインでチャットし、製品やサービスに関する問題を解決する。この最新の手口では偽のチャットセッションが含まれ、あたかもインタラクティブなサイトであるような印象をユーザーに与え、本物らしく見せかけている。その新しい手口を紹介しよう。図2のフィッシングページでは、顧客のIDとパスワードを尋ねるほか、サポート担当に聞きたい質問を入力させる。
顧客が詳細を入力し、[Chat]ボタンをクリックすると、チャットウィンドウにページがリダイレクトされる(図3)。
チャットウィンドウには、すぐにサポート担当者も現れ、チャットが開始可能であると表示される(図4)。チャットウィンドウの下には、正規のWebサイトを真似してタイマも表示される(タイマは偽物で正しい時間を表示しない)。
しかし、図4でユーザーがどんなメッセージを入力しても何の反応もない。チャットウィンドウは、サポート担当者がチャットセッションから離れたというメッセージを表示する。数分後、チャットセッションは終了し、画面には電子メールフォームが表示される。ページには、メンテナンスのためオンラインサポートが中断されたと表示され、時間をおいて再度アクセスするか、メッセージをサポート担当に送るように指示される(図5)。
このようにして、ユーザー情報が奪取されてしまう。一連の流れは、いかにも正しいサポートが行われているかに見える。しかし、チャットセッションはすべてフィッシャーのPCの自動制御で行われている。このフィッシングサイトはフリーのWebホスティングサイトにホストされていた。特にログイン情報を標的とするフィッシングWebサイトは、正規サイトに似せたログインページを作成するケースが多いとのことだ。シマンテックでは、このようなフィッシング攻撃から身を守るための方法として、以下をあげている。
- 電子メールメッセージ内の疑わしいリンクをクリックしない
- WebサイトのURLを確認して正規ブランドのサイトであることを確認する
- リンクをクリックするのではなく、Webサイトのドメイン名をブラウザのアドレスバーに直接入力する
- オンラインフィッシングからユーザーを保護するノートンインターネットセキュリティ2010などのセキュリティ対策ソフトをつねに最新の状態にアップデートする
タコのパウル君も登場、最新のスパム情報
タコのパウル君を覚えておられるであろうか。2010 FIFAワールドカップのドイツ戦の勝者と決勝の勝者を予言した、世界一有名なタコといってもいいだろう。これまた、スパマーのネタとなった。スパマーはタコのパウル君「ブランド」を活用して、占いを宣伝するスパムメールを送りつけた。
日本でも猛暑が続くが、ロシアでは熱波が襲い、深刻な山火事が発生している。ロシアのスパマーはこの機会を悪用し、エアコンを宣伝するスパムメールを送りつけた。