1月の全体的な傾向
前回のレポートでは、スパム量の減少を取り上げた。しかし、1月10日を境に上昇傾向へと変化した。詳細は後述するが、図1は、昨年1年のスパムの割合を示したものである。
メッセージ全体に対するスパムの割合は、12月は81.69%、1月は79.55%であった。この数字の背景には、1月のエジプトでのデモも関係している。政府がインターネットの接続を遮断したことで、スパムもまた発信できなかったのである(こちらも後述する)。このような状況から、2月以降は上昇に転じると予想される。フィッシング攻撃の総量は16%の減少で、すべての分野で減少が見られた。具体的には、自動化ツールキットが約39%の減少、一意のURLは1%の減少、IPドメイン(http://255.255.255.255などのドメイン)約49%の減少となった。一方、Webホスティングサービスはフィッシング全体の12%を占め、先月比から19%の増加となった。
スパム量は増加に転ずる
冒頭でもふれたように、12月27日に最低を記録したスパムであるが、年が明けた1月10日には上昇に転じている。図2は、この2カ月の全世界のスパム量の推移である。
Rustockボットネットが活動を再開したことで、1月10日以降、スパム量の増加が確認できる。図3は、この2カ月のスパムの割合の推移である。
こちらも、1月上旬を境に増加に転じている。とはいえ、2011年1月の世界全体のスパム量は2010年12月と比較して15.7%減と低い水準のままである。シマンテックの予想では、2月には8月以降初めてスパム量の前月比が増加に転じると予想する(同時にスパムの割合も増加すると予測する)。シマンテックの2011年の予想ではスパム量の増加は継続するが、そのペースはMcColo閉鎖後よりもかなり遅いペースとなるとした。現時点では、この予想通りとなっている。いずれにせよ、これまで継続していたスパムの減少傾向は終了し、増加に転ずるとのことである。
エジプト騒乱が原因でスパムが減少
チェニジアをかわきりに、政府や支配階級に対する民衆の大きな抗議行動が発生した。デモは、エジプトでも大規模に行われた。この行動にはインターネットのソーシャルネットワークサービスなどを使い、情報伝達や組織化が行われた。そこで、エジプト政府はデモを鎮圧するためにインターネットの遮断を行った。もちろん、これは一定の効果をもたらしたが、意外な余波もあった。遮断により、スパマーらもスパムを発信することができなくなったのである。シマンテックでは、1月27日の午後2時前後にエジプト発のスパムトラフィックの減少を確認している(図4)。
エジプトから発信されるスパムは、世界全体のスパム量の約0.1%とさほど多くはない。しかし、インターネットの遮断により、スパム量に大きな変化を与えた点は、シマンテックでも興味深い事実として捉えている。
1月に観測されたフィッシングWebサイト
さて、1月にシマンテックで観測されたフィッシングWebサイトをいくつか紹介しよう。まずは、セハナ大洪水の被災者支援を騙るものだ。これは、2011年1月、ブラジルのリオデジャネイロ州の山間部にあるセハナを襲った洪水である。フィッシャーは、この災害から被災者を救済する寄付を求めようとする。
ここで使われたドメイン名は、ポルトガル語で「フリブルゴ(Friburgo)の惨状を救うために寄付を」という意味であった。フリブルゴは、被災地域にある町の1つである。ドメイン名の最上位ドメイン(TLD)はブラジル(br)となっているが、実際にはサーバーは米国ダラスに置かれていた。救済メッセージに続き、ブラジルの大手銀行とクレジットカード会社のロゴが掲載され、ロゴの下には1組のハイパーリンクが設定されていた。寄付金を送るには、このリンクをクリックせよとあり、リンクをクリックすると、対応するブランドを偽装したフィッシングサイトにリダイレクトされる。
ブランドを偽装したフィッシングサイトでは、ユーザーのログイン情報を入力するよう求められ、ログイン情報を入力するとフィッシングサイトから正規のWebサイトにリダイレクトされる。ここで個人情報などが奪取される。特徴的なのは、1つのフィッシング詐欺を使って複数のブランドを標的にしている点である。もう1つは、テレビ番組「ビッグブラザーブラジル(Big Brother Brasil)」を悪用するものだ。オンラインで番組内容が視聴できるWebアプリケーションを提供すると騙る。
この詐欺は、過去に同番組の第10シーズンが放映された2010年1月から3月にも観測された。2011年1月11日に第11シーズンが始まり、フィッシング攻撃も復活した。ユーザーの隙を突いて個人情報を引き出そうとする手口は同じである。Webアプリケーションはユーザーを誘い込むための手口で、実際には存在しない。図6の右にあるメールアドレスなどを入力することで、個人情報が奪取され、なりすまし犯罪に悪用される。さらにフィッシャーはポルノなどのアダルトコンテンツをワナに使うこともある。ビッグブラザーブラジル詐欺ではポルノは使われていなかったが、有名人のアダルトビデオを見られるというユーザーの期待感を悪用している。
さて、フィッシャーが一つめのような、天災を悪用することは多い。日本では3月11日に東北地方を中心に大地震が襲った。前後して、デマメールやチェーンメールなども報告されている。フィッシャーは、これをもワナに悪用することもありうる。十分に注意してほしい。