3月の全体的な傾向

まずは、スパマーは日本を襲った大地震に便乗して、多くのスパムメール、詐欺メッセージ、マルウェア、フィッシング攻撃を仕掛けてきた。これについては後述するとして、3月において注目されるのは、ボットネットRustockのシャットダウンであろう。これは、米国政府とMicrosoftの協力により実現されたものだ。Rustockは2010年12月にも同様の傾向がみられた(こちらの記事を参照)。2月に8.7%の増加が見られた日単位の平均スパム量は、3月には27.43%の減少が観測された。

図1 3月16日前後のスパムの推移(レポートより)

図1はRustockがシャットダウンされた3月16日前後のスパム量を示したものだ。3月16日には、世界全体のスパム量が大幅に減少し、前日比24.7%の減少となった。17日には、さらに11.9%減少した。それ以降、スパム量は低い値を保っている。同じような傾向は、TLD(最上位ドメイン)が.ruのURLを持つスパムの割合にも表れている。

図2 .ruのURLを持つスパムの割合の推移(レポートより)

2010年12月にRustockが一時、休眠状態になったときと同じような動きとなっている。

津波の動画を埋め込んだメッセージ

これまでも、世界的な災害が発生すると、スパマーらは悲劇に便乗して各種の攻撃を行ってきた。今回の東日本大震災でも同様の攻撃が多数、検知された。レポートにて紹介された具体例を紹介したい。まずは、動画らしきものを埋め込んだ例である。

図3 動画が埋め込まれたメール(レポートより)

中央のアイコンが動画らしく見せているが、実体はだだの画像である。このリンクを開くと、実行可能なファイルのダウンロードとインストールを求められる。動画を見たいという欲求を逆手にとったありがちな手口である。

ダウンロードされるのは、ブラジルのオンラインバンキングを狙うトロイの木馬に関連するマルウェアだ。さらに、リンク先からはマルウェアのペイロードがダウンロードされる。これに感染すると、インターネットバンキングのログイン情報などの機密情報が盗難される危険性がある。

図4 ダウンロードされる実行可能なファイル(レポートより)

ナイジェリア詐欺を真似た詐欺メール

ナイジェリア(419)詐欺の亜種も発見されている。

図5 ナイジェリア詐欺を真似たメール(レポートより)

原発の危機的な状況を訴え、被災者を援助するための支援を求めるという内容である。ナイジェリア詐欺もそうであるが、いかにも本物らしい組織を騙り、騙そうとする。シマンテックでは、具体的な支援を行う場合には、正規の確実な経路で行うべきとしている。しかし、次で紹介するフィッシング詐欺サイトは、巧妙な細工をしているので、より注意をしてほしい。

巧妙に作られた偽の赤十字を騙るフィッシングサイト

今回の東日本大震災の被災者を支援するために、多くの人々が支援をしている。その善意を踏みにじるようなフィッシング詐欺サイトが、シマンテックによって確認されている。

図6 赤十字を騙るフィッシングサイト(レポートより)

まず、このフィッシングサイトの特徴は、非常に巧妙に本物のWebサイトと見間違うような細工がほどこされている点である。まずは、左上のロゴによって、いかにも本物の赤十字社に寄付金が送金されるかのような印象を与える。

さらに、ページの左側には寄付金の概要がめだつように表示され、1ユーロと示されている。寄付の概略とともに、同じフィッシングページにリダイレクトされる「Donation for Japan earthquake victims(日本の地震被災者への寄付)」というハイパーリンクが用意されている。1ユーロというのも、かなり低めの金額に設定することで、ユーザー迷わず寄付金を支払いやすくする効果を狙ってのことである。

支払方法は2通り用意されていた。1つめの方法は、このオンライン決済サイトの顧客の場合で、そのサイトのアカウントから支払う。オンラインサイトの顧客でない場合には、クレジットカードまたはデビットカードの詳細情報を入力するよう求められる。

入力が要求されるカード情報は、カードの種類、ユーザー名、誕生日、社会保障番号、母親の旧姓、住所、電話番号、そして電子メールアドレスである。必要な情報を入力すると、「Thank you」というメッセージが表示される。このフィッシングサイトは、米国に設置されているサーバーでホストされていた。

いずれにせよ、狙われているのは、個人情報である。ここを踏み台として、フィッシャーは多額の金銭を狙っていくのである。このような手口は、以前からも使われている。しかし、このような災害などを悪用することで、注意力を下げ、騙そうとしているのである。上述したように、寄付金なども正規の組織であり、正しく運営されているWebページかどうかをきちんと確認してほしい。