8月の全体的な傾向
まずは、スパムである。8月の世界全体のメールトラフィックに占めるスパムの割合は、75.9%と、7月に比べ1.9%減少した。注目すべきは、8月に2位となった中国である。中国では、ITサービス業界でのスパムレートが上昇し、8月ではもっともスパムレベルが上昇した国となった。また、中国語のスパムもスパム全体の0.6%を占めるにいたっている。ちなみに、1位は英語で90%以上を占め、2位のロシア語が1.7%である。小さい数字ではあるが、中国語のスパムが増加していることは、そのまま、中国のスパムレベルの上昇を意味している。日本のスパムレベルは、72.8%であった。
8月のフィッシング活動は、メールの207.3通に1通の割合でフィッシング攻撃が含まれていた。もっとも大きな割合(つまりは、もっとも激しくフィッシング攻撃を受けた)となったのは、スウェーデンで45.3通に1通がなんらかの攻撃を含んでいた。その内、51.6%は国際送金や為替サービスを行う有名な金融会社に関連したものであった。日本では、8,115通に1通であった。8月のフィッシングサイトの数は6.75%減少となった。全体的に減少が見られたが、IPアドレスを使ったフィッシングサイト(例:http://255.255.255.255)が、18.34%増加している。フィッシングサイト全体のうち、正規のWebホスティングサービスを悪用したものの割合は約9%で、7月から16.81%減少となった。
ついで、メールトラフィックに占めるメール感染型ウイルスの割合は、203.3通に1通の割合となり、7月と比較すると0.14%の微増となった。また、悪質なWebサイトへのリンクが張られたメール感染型ウイルスは37.1%を占めた。7月同様に、ポリモーフィック型マルウェアを添付したメール攻撃も観測されたが、18.5%と7月の23.7%からは減少が見られる。もっとも攻撃が多かったのは、フィッシングと同じくスウェーデンで、52.1通に1通となった。特に、44.6%でポリモーフィック型マルウェアが検知されている。日本では、1,912に1通であった。
URLの隠ぺいにUnicode正規化を悪用
スパム対策の1つにフィルタリングがある。送信元などからスパムと判定するものだ。逆にいえば、スパマーらは、このフィルタリングをかいくぐろうとすることが第一目標ともいえる。その手口を紹介しよう。これは、URLの中の特定の文字を、類似または同一に見えるUnicode文字に置き換えるものだ。シマンテックによれば、数は少ないものの、その量は一定しており、URLを不明瞭化して解析しにくくさせるための新たな手法と分析する。Unicodeには、類似あるいは等価の文字を単一の形式に変換する正規化規則がある。
図4のピリオドは、通常の文字のように見えまる。しかし、実際にはこの文字はUnicode文字U+2024(1点リーダー)に置き換えられている。同様に、トップレベルドメインに含まれている"l"も、普通のラテン文字 "l" のように見えるが、実際は、Unicode文字のU+217C(小文字ローマ数字「50」)になっている。WebブラウザやメールソフトのHTMLレンダリングエンジンが、このURLの処理を行うと、Unicode正規化が適用されて「1点リーダー」が通常のピリオドに、「小文字ローマ数字50」は普通の「l」の文字に置き換えられてしまう。結果、ユーザーがスパムサイトにアクセスできてしまう。
この手口は、フィッシング攻撃で使われる国際化ドメイン名(IDN)同形異義語攻撃に似ている(見た目の似たUnicode文字を使い、偽サイトに誘導する)。しかし、今回確認された手口では、サイトを偽装したりなりすましを行うことが目的ではなく、類似のUnicode文字をサイトの不明瞭化のために利用している点が異なると、シマンテックでは分析している。
AppleのiDiskサービスになりすましたフィッシング
Appleが提供する一連のオンラインサービスMobileMeの1つにiDiskがある。このサービスのWebサイトを装ったフィッシング攻撃が確認された。まず、フィッシャーは、このサービスから何を得ようとしているのか?iDiskは、有償で一定期間利用できるサービスで、20GBまでファイルをアップロードし、共有することができる。フィッシャーは、このサービスを無料で提供しようとしている。つまり、このフィッシング攻撃では、金銭を得ることが目的ではなく、ユーザーの個人情報の入手を目的としている。
図5のフィッシングサイトでは、ログインパスワードの入力を求められる(この時点で、ユーザーIDが表示されている)。パスワードが入力されると、正規のApple MobileMeにリダイレクトされるが、パスワードが無効というエラーメッセージが表示される。しかし、ユーザーはよくある入力エラーだと錯覚してしまう。通常、フィッシングサイトへのリンクは、特定のユーザー名を含まないスパムメッセージが使われる。そのため、宛名は「Dear Valued Customer(お得意様各位)」や「Dear Member(会員各位)」などと不特定な場合がほとんどである。
この例では、フィッシャーは、個々のIDを指定することによって、ユーザーを信用させようとしている。ユーザーIDは、スパマーらが収集したメールアドレスから、抜き出したものである。たとえばuser001@example.comというアドレスの場合、「user001」をユーザーIDとみなすのである。しかし、このユーザーIDが、MobileMeの実際のユーザーIDである保証はどこにもない。そこで、フィッシャーは、大量のユーザーIDを使い、「まぐれ当たり」に期待しているのだと推察されるとのことだ
8月のレポートでは、Shady RAT攻撃、MBR感染型マルウェアの再流行、株価操作詐欺なども分析している。興味ある方は、こちらを参照してほしい。