シマンテックでは、これまでスパム&フィッシングレポートとしてインターネットの脅威を分析・レポートを行ってきた。6月からは、シマンテックドットクラウドのメッセージラボインテリジェンスレポートを統合し、シマンテックインテリジェンスレポートとして、発表することになった。今月は、2011年3月に遮断されたRustockボットネットのその後の動向の分析を中心に紹介する。
6月のスパム分析
2011年3月に、Microsoft主導による対策が行われ、当時最大級のスパム送信ボットネットとして活発な活動を続けていたRustockが遮断された。その後、Rustockはほとんど活動を停止し、スパムの送信はほとんど観測されていない。図1は、この1年の世界におけるスパム送信量の変化を示したものである。1日あたりのスパム送信量は、一定してはいないが、以前の水準以下となっている。
 |
図1 1日あたりのスパム量の推移(2010年6月~2011年6月) |
また、6月の世界のメールトラフィック全体におけるスパムの割合は72.9%となり、2011年4月の水準まで低下した(図2)。このうち、76.6%がボットネットから送信されたもので、その割合は、2011年3月の83.1%から減少し、2010年末と同程度の水準まで下がっている。しかし、1日あたり、およそ392億通のスパムメールが流通しており、スパムが大きな問題であることに変わりはない。
 |
図2 2011年3月以降のポットネットを発信源とするスパムメールの全メール数に対する割合の推移 |
シマンテックでは、スパム量全体の減少やボットネットからの送信比率の低下はあるものの、ボットネット自体の危険性は、現在も存在していると警告する。スパマーがいなくなったわけでないのである。具体的には、分散型サービス拒否(DDoS)攻撃、無関係なWebサイトを悪用したクリック詐欺による不正利得、感染PC(ボット)上での不正Webサイト コンテンツのホスティング、感染したPCからの個人情報の収集、ユーザーの動向をオンラインで追跡するためのスパイウェアのインストールなど、さまざまな用途にボットネットが暗躍している。
Rustockの後を引き継いだのはどこか
当初、Rustockの後継は、Bagleと推察されていた。理由は、Rustockを発信源としていたスパムの大半は医薬品スパムで、Bagleのスパムもほとんどが医薬品に関連していたからである。しかし、シマンテックでは、RustockとBagleを発信源とする2011年3月以降のスパムの分析結果から、BagleはRustockの後継ではないとした。その理由として、この2つのボットネットが流通させたスパムに関連性がなく、逆に2つの活動パターンは、大きく異なるものであったとのことである。
その一方で、GrumがかつてのRustockの活動の一部を引き継いだ可能性が極めて高いと分析する。この2つのボットネットが明らかに関連しているスパム攻撃が複数発見され、少なくともスパムメールの「件名」と「送信者」のドメインには関連性が見られる。また、Grumが突然、使用文字セットをISO-8859-1からRustockが使用していたUTF-8に変更した。このような変更は、非常にめずらしく、Rustockが遮断されたわずか数時間後の3月10日から17日の間に行われており、Rustockの遮断と無関係とはいえないとのことだ。
 |
図3 10大スパム送信ボットネットのスパム送信量(2011年3月以降) |
図3を見ると、6月現在でもっとも大きな勢力を持っているのは、Cutwailであることがわかる。Cutwailは、以前からボットネットとして活動を継続しており、最近活動を活発化させているBredolabマルウェアファミリーを中心に、マルウェアを含んだメールを大量送信している。一方、今年4月末からBagleの活動が急速に低下している理由は不明とのことである。6月における活動の活発なボットネットを一覧にしたのが表1である。
表1 2011年6月の最も活発なスパム送信ボットネット
| ボットネット | スパムの割合 | 1日あたりのスパム数 | 1分あたりのスパム数 | 1ボット1分あたりのスパム数 | ボットネット規模 | 感染源の国 |
|---|---|---|---|---|---|---|
| Cutwail | 16.1% | 9,609,745,048 | 6,673,434 | 77 | 800k~1200k | インド(10%)、ロシア(9%)、ブラジル(8%) |
| Xarvester | 6.7% | 4,002,042,186 | 2,779,196 | 455 | 57k~86k | 英国(18%)、フランス(13%)、イタリア(9%) |
| Maazben | 3.1% | 1,872,408,382 | 1,300,284 | 14 | 520k~780k | 韓国(14%)、ロシア(10%)、インド(10%) |
| Lethic | 3.1% | 1,824,416,511 | 1,266,956 | 45 | 230k~340k | 韓国(25%)、ロシア(15%)、ウクライナ(7%) |
| Grum | 3% | 1,801,605,428 | 1,251,115 | 140 | 200k~290k | ロシア(14%)、インド(14%)、ウクライナ(8%) |
| Bagle | 2.7% | 1,599,896,533 | 1,111,039 | 58 | 140k~200k | インド(15%)、ロシア(1%)、アルゼンチン(8% |
| Fivetoone | 2.3% | 1,400,401,724 | 972,501 | 98 | 94k~140k | ベトナム(20%)、ブラジル(12%)、インドネシア(11%) |
| Festi | 1.2% | 691,992,804 | 480,551 | 166 | 25k~37k | インド(10%)、ベトナム(10%)、ブラジル(9%) |
| Bobax | 0.4% | 254,229,254 | 176,548 | 24 | 80k~120k | ウクライナ(27%)、インド(18%)、ロシア(18%) |
| DarkMailer | 0.5% | 42,575,225 | 29,566 | 351 | 1k~1.5k | フランス(27%)、米国(16%)、ドイツ(13%) |
| Other, smaller Botnets | 0.5% | 22,277,510 | 15,470 | 321 | 62k~95k | - |
| Unnamed Botnets | 36.9% | 21,962,912,697 | 15,252,023 | 196 | 660k~990k | - |
| Total Botnet Spam | 76.6% | 45,084,503,302 | 31,308,683 | 162 | - | - |
| Non-botnet spam | 23.4% | 3,411,165,479 | 2,368,865 | - | - | - |
| Grand Total | - | 48,495,668,780 | 33,677,548 | - | - | - |
長期にわたって活動を続けているボットネットの1つであるXarvesterも、Rustock停止以降、送信量を増加させている。Xarvesterは、これまで長い間、比較的目立たない存在であったが、ここにきて活動を活発化させ、6月には、ボットネットの中で2番目に多いスパムを送信している。表2は、スパムの発信地域である。
表2 2011年6月のスパム送信ボットネットの地域分布
| 国名 | スパムの割合 |
|---|---|
| 韓国 | 11.2% |
| ロシア | 11.1% |
| インド | 8.7% |
| ウクライナ | 6.1% |
| ブラジル | 5.3% |
| ベトナム | 2.9% |
| 米国 | 2.8% |
| 英国 | 2.4% |
| 台湾 | 2.4% |
| ルーマニア | 2.3% |
Rustockの停止に伴って、スパムの発信地域にも変化が見られる。米国から送信されるスパムが、1年前の10.7%から2.8%以下と大幅に低下している。Rustockの大半の「ボット」が、米国内に存在していたことがその理由と推察される。逆に大きく増加したのが、韓国で、1年前は約3%程度に過ぎなかったスパム送信量が今や11%を超えている。韓国内に強力な拠点を持つMaazbenとLethicの2つのボットネットからの送信量が増加していることが、その主な理由である。東欧地域からのスパム送信量は、依然として高い水準で一定しており、その中でもロシアとウクライナは、スパムの最多発信国となっている。さらに注目したいのは、最近スパム送信量が増加しているXarvesterである。Xarvesterでは、感染したPCのほとんどすべての所在地が、英国やフランスを始めとする西欧諸国内となっている。
日本を悩ます募金詐欺
3月11日の東日本大震災で、日本は甚大な被害を受けた。サイバー犯罪者らは、この機会を見逃さず、エンドユーザーを引き寄せるための偽の寄付金サイトを立ち上げている。偽の寄付金キャンペーンで、サイバー犯罪者は慈善団体や銀行のWebサイトになりすまして、詐欺行為を行う。6月に実際にあった例では、利用者の多いクレジット決済代行サイトのドイツ語サイトになりすまし、偽のサイトでユーザのログイン認証情報を盗み出そうとしていた。このWebページには、ドイツ語で「日本はあなたの支援を求めています。被災者のための義援金活動にご協力ください。今すぐ募金をお願いします」というメッセージが掲載されていた。メッセージの横には、原子力発電所近くにある福島市と、日本の首都である東京の地図が貼られていた。さらに、この地図には、太平洋沿岸海底の震源地も表示されていた。
ログイン情報を入力すると、ユーザーは、正規のWebサイトにリダイレクトされ、ログイン情報を盗み取られたことに気がつかないまま、そこで引き続き寄付の手続きを行うことになる。この偽サイトで入力を求められるのは、クレジット決済サイトのログイン認証情報などだ。サイバー犯罪者は、このフィッシングサイトで入手した個人情報を闇市場で販売し、金銭を得ている。このフィッシング攻撃は、単一のIPアドレスを利用したWebサイト生成ツールによって実行されており、4つの異なるドメイン名が使用され、管理ホストはフランス国内に置かれていた。
