9月の全体的な傾向

まずは、スパムである。9月の世界全体のメールトラフィックに占めるスパムの割合は、74.8%と、8月に比べ1.1%減少した。サウジアラビアが、84.0%と非常に高いスパム率となった。また、8月のレポートでも注目した中国であるが、9月もスパムレートの急上昇が観測された。日本のスパムレベルは、71.6%であった。

図1 スパム分析(レポートより)

9月のフィッシング活動は、全体的に減少傾向となった。メールによるフィッシング攻撃は、447.9通に1通の割合となった。もっとも大きな割合となったのは、南アフリカで133.1通に1通であった。次いで、英国、カナダと続く。日本では、12,812通に1通となり、大きな減少がみられた。9月のフィッシングサイトの数も6.75%減少となった。9月のフィッシングサイトの数は、全体で12.2%の減少となった。

図2 フィッシング分析(レポートより)

最後に、メールトラフィックに占めるメール感染型ウイルスの割合は、188.7通に1通の割合となり、8月と比較すると0.53%の増となった。日本では、1,912に1通であった。9月の注目点は、ポリモーフィック型マルウェアの亜種を含むものが、72.0%にも達したことである(8月は、18.5%であった)。多くの場合で、ZIP形式のファイルが添付されており、Bredolab、Sasfis、SpyEye、Zeusの亜種などが検知されている。

シマンテックでは、悪意を持った攻撃者が、2011年以降、企業への攻撃をエスカレートさせ、従来のセキュリティ対抗策の弱点を最大限に利用していると分析している。日本国内でも、防衛関連企業を標的とした標的型攻撃が報告されている。今後もこの傾向は続くと予想される。企業のセキュリティ対策ももちろんであるが、取引先や上司を騙るメールなどにさらなる注意が必要である。

図3 マルウェア分析(レポートより)

オフィスプリンタからウイルスメールが届く

上述した標的型攻撃でも、取引先や上司を騙るソーシャルエンジニアリングが使われていた。9月には、オフィスプリンタを悪用した手口が観測された。その中身を紹介しよう。最近のオフィスプリンタには、自動ドキュメントスキャンなどの機能を有するものが多い。そして、スキャンが完了すると、ジョブが終了したことをメールでユーザーに通知する。実際には、図4のようなメールが送られる。

図4 オフィスプリンタから送信されたスキャン済みドキュメントを装うメール例(レポートより)

このメールには、ZIP形式のファイルが添付されており、スキャンしたデータを装う。しかし、アーカイブ内に実行形式のマルウェアが含まれている。オフィスプリンタがマルウェアを含むファイルを送信することなどありえない。そして、ほとんどのプリンタが、ZIP形式の添付ファイルを送信することもない。

シマンテックでは、プリンタがマルウェアを送信するということが想像がつかず、開封してしまう危険性があると指摘する。改めて、不審な送信者からのメールには、注意すべきという当たり前の対策が有効となる。他には、図5のようなメールが送られた。

図5 オフィスプリンタになりすますメール例(レポートより)

送信者ドメインは受信者ドメインに合致するように詐称したり、同じ組織の同僚によって受信者宛てに転送されているように見せる、内部から発信されたメールとほのめかすような事例があったとのことである。

さらにファイル名までも偽装

オフィスプリンタを使ったソーシャルエンジニアリングでは、さらなる手口も観測された。ファイル名の偽装までも行っていたのである。上述のように、添付ファイルはZIP形式が使われており、中身を確認するには、アーカイブツールを使う。ところが、実際に表示させると、図6のようになる。

図6 「.doc」拡張子であるかのように表示する「.zip」アーカイブ例(レポートより)

本来のファイル名は、「cod.exe」となっている。しかし、一部のアーカイブツールでは、「exe.doc」となり、いかにもWordのドキュメントファイルであるかのように装う。この手口であるが、「cod.exe」の前に特別な隠し文字(16進コードの0xAB)を挿入している。

 Document_NR727875272_Coll=d4=c7=abcod.exe

結果、特別な隠し文字の後の文字列の並びが反転するというものである。シマンテックでは、メールを受け取ったユーザーに対し、なんとかメールを読ませ、添付ファイルを開かせようとしており、そのために、幾重にもソーシャルエンジニアリングを施しているとのことである。実際に、このような手口が使われると、注意力だけで防ぐことは、非常に困難となってくる。セキュリティ対策ソフトの導入が不可欠である。9月のレポートでは、

  1. ブロックされた悪質Webサイトのうち、9月に新たに遮断されたものは、全体の44.6%(前月比10.0%増)
  2. ブロックされたWebベースのマルウェアのうち、9月に新たに確認されたものは、全体の 14.5%(前月比2.9%減)
  3. スパマー、WordPressの脆弱性を悪用して医薬品のスパムWebサイトを宣伝
  4. 偽のトラストシールを使った偽の製品販売
  5. スパマーやマルウェア作成者による不明瞭化されたJavaScriptの使用が増加

といった報告も行われている。