2020年は、世界的な新型コロナウイルスによるパンデミックへの対策から、リモートワークが主流になった。サイバー犯罪者はそれに目を付け、リモートワーク環境を狙った攻撃を仕掛け始めた。その主要なものがスパム、フィッシングである。2020年はこれらの検知数が大きく増加し、2021年もこの傾向は継続していた。本連載では、2021年のスパムとフィッシングのトレンドと2022年の予測を紹介する。

2021年のスパム、フィッシングの傾向とは?

2021年も引き続き、スパムとフィッシングが増加傾向にあった。これらは2020年の新型コロナウイルスのパンデミック以降に大幅に増加し、2021年5月からさらなる急増を見せた。2021年9月には、同5月の倍近くまで増加した。急増した要因には東京オリンピックの開催が挙げられるが、この状況は過去にも例がなかった。

  • 過去1年間のスパム・フィッシングのトレンド

スパムの送信元IPを国別で見ると、日本では国内から送信されたスパムは23%と4分の1を切っている。以下、ブラジル(14%)、米国(8%)、中国(6%)ロシア(6%)と続いた。フランスでは43%、米国では65%と、一般的には国内からの送信が最も多い傾向にある。日本は、さまざまな国から攻撃を受けているといえそうだ。

  • 国別スパムIPランキング(日本)

ちなみに、Vade Secure(以下、Vade)ではメール経由の主な脅威を「スパムボット」と「フィッシング」に大別している。スパムボットにはマルウェアが添付されたり、本文のリンク先がマルウェアサイトになっていたりするものもある。2021年にはランサムウェアが猛威を振るい、他のサイバー攻撃の一部として利用されるケースが目立った。

  • 脅威の分類

例えば、不正アクセスにより重要な情報を盗み出す際にランサムウェアを仕掛けて暗号化し、復号のために身代金を要求するだけでなく、盗み出した情報をサイバー攻撃者が用意した「暴露サイト」で公開すると脅す二重脅迫や三重脅迫も発生した。さらに2021年は、1月にテイクダウンされたマルウェア「Emotet」が復活し、大きな脅威となっていた。

スパムボットの特徴と動向

スパムボットはマルウェアの一種であるボットのように、ある程度自動化された送信を行う。スパムボットは多くのサイバー犯罪者が存在すると思われ、例えばドメイン名はランダムなものから誤認されやすいように工夫したものまでさまざまである。

ドメイン名とIPアドレスの組み合わせも定期的に更新されており、IPフィルタリングを回避しようとしている。また、ほとんどのスパムボットがURLにリダイレクトシステムを利用している。スパムボットのタイプは、「楽して稼ぐ詐欺(Easy Money)」と「出会い系詐欺(Dating)」に大別される。いずれも誘導先へのリンクのクリックや、アクセス後に連絡を取るなど、ユーザーのアクションが多いことも特徴となっている。

Easy Moneyの特徴

Easy Moneyは、簡単に大金を稼ぐ方法を提案する詐欺の一種である。さまざまなサービスをキャンペーン中として格安で利用できる、あるいはわずかな投資で数億円を稼げるといった内容のものが多く、メールマガジンやフォーラム登録の確認メッセージのように見えるテキストメッセージのみで、一つまたは複数のリンクが含まれている。正規のリンクが含まれているものもある。

  • Easy Moneyのメール例

メールの送信元は日本国内と米国が中心であり、URLのドメインは主にAmazonなど米国で管理されているものが多い。なお、ドメインにアクセスするとトップページがないことが多い。そしてURLは、韓国や香港をはじめさまざまな国のドメインにリダイレクトされる。本文にあるリンクは、悪意のURLを検知されないように「無意味な文字列」や「特殊文字」を利用するケースが多いことも特徴だ。

詐欺サイトで会員登録をすることでサービスを利用でき、キャンペーンが適用される。さらに複数のアクションをすることでポイントが付与される。しかし、サービスを利用するにはポイントが不十分であり、ユーザーはお金を払ってポイントを購入することになってしまう。決済方法はクレジットカードになるため、クレジットカード情報を盗まれてしまう。