Comments
Description
Transcript
シマンテックマンスリースパムレポート 2008 年 2 月
シマンテックマンスリースパムレポート 2008 年 2 月 Symantec Messaging and Web Security 作成 マンスリースパムレポート 2008 年 2 月 Doug Bowers 編集責任者 スパム対策エンジニアリング Dermot Harnett 編集者 スパム対策エンジニアリング Charles Var 広報担当 [email protected] 寄稿者 Kelly Conley Manager シマンテックセキュリティレスポンス Kevin X Yu Security Response Lead シマンテックセキュリティレスポンス Mayur Kulkarni Security Response Lead シマンテックセキュリティレスポンス Joanne Mulcahy Manager シマンテックセキュリティレスポンス Shravan Shashikant Pr. Business Intelligence Analyst スパム対策エンジニアリング Samir Patil Security Response Lead シマンテックセキュリティレスポンス Francisco Manzano Pardano Security Response Technician シマンテックセキュリティレスポンス Pavlo Prodanchuk Sr. Security Response Technician シマンテックセキュリティレスポンス Hitomi Lin Security Response Technician シマンテックセキュリティレスポンス Niall O’Reilly Security Response Technician シマンテックセキュリティレスポンス Amanda Grady Sr. Customer Response Analyst スパム対策エンジニアリング Frank Kuang Security Response Technician シマンテックセキュリティレスポンス Joseph Long Security Response Lead シマンテックセキュリティレスポンス Paul O’Hagan Security Response Lead シマンテックセキュリティレスポンス Eric Chiu Security Response Technician シマンテックセキュリティレスポンス Jessica Lin Security Response Technician シマンテックセキュリティレスポンス Sohan Mirajkar Security Response Technician シマンテックセキュリティレスポンス Manish Satalkar Security Response Technician シマンテックセキュリティレスポンス Dylan Morss Mgr, Business Intelligence スパム対策エンジニアリング マンスリースパムレポート 2008 年 2 月 今月のスパム状況 一般的にホリデーシーズンが終わるとスパムの数は沈静化するものですが、1 月の全電 子メールに占めるスパムの割合は前の月よりも上昇し、78.5% にまで達しています。そ して今月はもう 1 つ驚くべきことがあります。ヨーロッパから発信されるスパムメッ セージの割合が、北アメリカから発信されるスパムメッセージの割合を超えました。 今月のハイライト: • ヨーロッパが新たなスパム王国に:ヨーロッパから発信されるスパムメッセージの割合 が、北アメリカから発信されるスパムメッセージの割合を3 ヶ月連続して上回りまし た。これは「世界のスパムの大半はおそらくここから発信されているのだろう」という 考えを大きく転換させる必要があることを意味します。 • バレンタインデーのお相手は?:バレンタインデーに予定がなくても問題ありません。もう すぐバレンタインデーですが、スパム発信者たちは男性を標的にしてギフト贈呈の広告 を送信しています。しかし、これをクリックしても出会い系サイトにリダイレクトされ るだけです。なんてロマンチックなのでしょう。 • 予期しなかった税金返還:「多く払いすぎてしまった税金を返還してくれたら」という市 民の願いを弄ぶスパムです。スパム発信者は米財務省の正式ロゴを利用した電子メール を送信し、受信者に対して早期の、そして予期せぬ税金の返還を約束します。 • その他の主な活動: – スパムメッセージの平均サイズが縮小 – 依然として活発な Google 検索を悪用するスパム – マネーロンダリングのための履歴書を受け付けるスパム – ヨーロッパのビザに関する問題を早期に解決すると申し出るスパム – SMS メッセージ経由でポルノサイトへのアクセスを提供するロシア系スパム – 奇妙なスパム • 遺伝子を自然に向上させる • ガソリン価格の高騰によりスパム発信者もバイオ燃料に注目している 1 マンスリースパムレポート 2008 年 2 月 スパムであることが確認された電子メールの割合 定義: 下のグラフの「インターネットメールに対するスパムの割合」は、スパムとして処理分 類されたメールの数と、メールゲートウェイでスキャンされた全処理メールの数との割 合です。この指標は、SMTP 層でフィルタリングされたメール数を基にしており、ネット ワークレイヤーで検知されたメールは含まれていません。 インターネットメール - スパムの割合 '% (+ % (% (&& .% (% (& (( &% )% (&& . )% %(& (( &% *% (&& +% *% (& '/ &%( +% && )% +% (& '- &+% %(& )' &,% %(& '* &,% %(& (. & -% %(& '( &-% %(& (, &% .% (&& /% .% (& () &% /% (&& , /% %(& (& &'& %(& % & '& *%( %' && . '' %(& %' &'' %( %' && '' +%( %( && '( /%( %' && '( )%( %( && - '% %(& '& &'% %(& (* & %( . && . /&$&& .+$&& .&$&& -+$&& -&$&& ,+$&& ,&$&& ++$&& +&$&& 長期のトレンドを示すために、7 日間の移動平均を示す線を加えています。 2 マンスリースパムレポート 2008 年 2 月 世界全体におけるスパムのカテゴリ別内訳 定義: スパムのカテゴリデータは、Symantec Probe Network を通過したメールの分類によるも のです。 世界全体におけるスパムのカテゴリ別内訳 金融 12% アダルト 7% フィッシング 6% 医療 8% 詐欺 10% インターネット 23% 各種製品 28% 娯楽 6% 3 マンスリースパムレポート 2008 年 2 月 分類カテゴリの定義 • 各種製品(Products)メール攻撃は、一般の製品・サービスを提供する(または広告す る)ものです。例:機器、調査サービス、衣料品、化粧品 •アダルト(Adult)メール攻撃は、18 歳以上の成人を対象とする製品・サービスを含み(ま たは紹介し)、攻撃的なものや不適切な内容のものが多く見られます。例:ポルノ、個 人広告、出会い系 • 金融(Financial)メール攻撃は、金銭、株式など儲け話を騙って提供するものです。例: 投資、クレジットレポート、不動産、ローン • 詐欺(Scams)メール攻撃は、詐欺的と判断できる、または意図的にだまそうとしてい る、または送信者の詐欺行為に利用されたことがあるものを言います。例:ナイジェ リアへの投資、ネズミ講、チェーンレター • 医療(Health)メール攻撃は、健康・医療関連の製品・サービスを提供する(または広告 する)ものです。例:医薬品、治療法、ハーブ療法 • フィッシング(Fraud)メール攻撃は、有名企業から来たメールを装っているが、実態は違 うというものです。この種のメールはブランドになりすます商標詐欺(brand spoofing)やフィッシング(phishing)と呼ばれ、ユーザーをだましてメールアドレス、財 務情報、パスワードといった個人情報を送信させようとするものが大半です。例:口 座情報、クレジットカード利用確認、利用明細 • 娯楽(Leisure)メール攻撃は、懸賞、当選、格安の各種娯楽を提供する(または広告す る)ものです。例:観光旅行、オンラインカジノ、ゲーム •インターネット(Internet)メール攻撃は、インターネットやコンピュータ関連の製品・ サービスを提供する(または広告する)ものです。例:ウェブホスティング、ウェブデ ザイン、スパムウェア 4 マンスリースパムレポート 2008 年 2 月 発信地域 定義: 発信地域別内訳は、報告されたメールのうち、過去 90 日間で以下の各地域から発信され たメールの割合を示しています。北アメリカ、南アメリカ、ヨーロッパ、オーストラリ ア/オセアニア、アジア、アフリカ。 発信地域 50.00% 45.00% 40.00% 35.00% 30.00% 25.00% 20.00% 15.00% 10.00% 5.00% 0 アフリカ アジア オーストラリア/ オセアニア ヨーロッパ 北アメリカ 南アメリカ インターネットメールの内訳 インターネットスパムの内訳 5 マンスリースパムレポート 2008 年 2 月 ヨーロッパが新たなスパム王国に 現在、ヨーロッパから発信されるスパムメッセージの割合は、北アメリカから発信され るスパムメッセージの割合を大幅に上回っています。全スパムメールの約 44% がヨー ロッパから発信されているのに対し、北アメリカから発信されているスパムメールの割 合は 35.1% です。この新しい傾向は 3 ヶ月前の 2007 年 11 月に見え始め、この 3 ヶ月間 その傾向が収まることはありませんでした。このデータを記録し始めた 2007 年 8 月は、 北アメリカから発信されるスパムメールが 46% であったのに対し、ヨーロッパから発信 されるスパムメールの割合は 30.6% でした。 スパムの性質やスパムがインターネット上に出回っていることを考えると、それがど の地域から発信されたのかを特定することは非常に困難であることが分かります。ス パム発信者の多くは、自分たちが実際に暮らしている地域から注意を逸らそうとしま す。DNS ブロックリストを回避するために、彼らはトロイの木馬を利用して電子メール を中継させ、地理的に異なる地域にあるサイトからスパムを送信しようとします。この ため、スパムが発信される地域が必ずしもスパム発信者がいる地域であるというわけで はありません。 ヨーロッパから発信されるスパムの著しい増加は重大なことではあります。しかし、過 去数年間のヨーロッパにおけるブロードバンドユーザー数の急増を考えると、全く予測 不可能なことであったわけではありません。2007 年 6 月に発行された OECD レポートで は、米国のブロードバンドユーザー数は 6600 万人で世界で最も多く、ヨーロッパのブ ロードバンドユーザー数は世界上位 10 ヶ国のうち 6 ヶ国を占めていました。ヨーロッパ から発信されるスパムがこれほど著しく増加した原因を見つけるには、住民 100 人に占 めるブロードバンド加入者の割合が高い国に目を向ける必要があります。上位 10 ヶ国の うち、ヨーロッパの国々が 8 ヶ国を占めています。 記録を行った月 8月 9月 10 月 11 月 12 月 1月 EMEA における スパムの割合 NAM における スパムの割合 30.6 34.2 38.7 42.2 44.4 44 46.5 44 40.3 37.3 35.3 35.1 6 マンスリースパムレポート 2008 年 2 月 発信地域 50.00% 45.00% 40.00% 35.00% 30.00% 25.00% 20.00% 15.00% 10.00% 5.00% 0 8月 9月 10 月 11 月 12 月 1月 EMEAにおけるスパムの割合 NAM におけるスパムの割合 7 マンスリースパムレポート 2008 年 2 月 バレンタインデーのお相手は? バレンタインデーが近づくにつれて、2 月 13 日までバレンタインのことなど気にしてい ないという人たちに対しても、スパム発信者たちはすでに製品の宣伝活動に張り切って います。 最近のスパムの傾向によると、男性が標的にされ「Get your Valentine’s gift bag from ghd(バレンタインデーのギフトバッグは ghd で)」というメッセージが送りつけられ ます。下の電子メール内の画像は、たくさんの化粧品が詰め込まれたデザイナーハンド バッグの写真です。しかし、この画像をクリックしても受信者には「We’re sorry this offer is not available in your area.(申し訳ありませんが、この地域ではこのサービスをご 利用できません。)」というメッセージが表示されるだけで、受信地域によって別のサ イトに誘導されます。たとえば、ヨーロッパやアジアの一部の地域では出会い系サイト に誘導されます。一方、北アメリカのユーザーはボーナスオファーサイトに誘導され、 インドのユーザーはフレンドネットワーキングサイトに誘導されます。ユーザーの IP ア ドレスの地域に「関連していて」その地域にあったコンテンツを提供するというこの手 口は、これまでいくつかの Web サイトや検索エンジンで利用されてきましたので、一部 のスパム攻撃でこの技術が使われていたとしても驚くことではありません。 8 マンスリースパムレポート 2008 年 2 月 予期しなかった税金返還 税金を申告するこの季節、米国市民は税金の返還にではなく、受信箱に到着する悪質な 詐欺に注意を払わなければなりません。現在スパム発信者たちによって世に出回ってい る電子メールの中で、IRS から届いたように見せかけるものが確認されました。米国財 務省のロゴを利用したこのようなスパムメールは、税金の返還が行われる予定であるこ とを受信者に通知します。そして、受信者に URL リンクをクリックして税金返還オンラ インにアクセスするよう促します。URL をクリックすると「Get Tax Refund on your Visa or Mastercard(税金の返還は Visa で行いますか? それとも Mastercard で行いますか?)」 というメッセージが表示されます。この後、受信者は社会保障番号、Visa または Mastercard の有効な番号、名前、住所その他の個人情報の入力を求められます。そして、受信 者にはご丁寧にも「a refund can be delayed for a number of reasons(返還は諸々の理由に より遅れる場合があります)」と通知されます。これにより、スパム発信者は手に入れ た個人情報を好きなだけ利用するための十分な時間を得ることができるのです。 9 マンスリースパムレポート 2008 年 2 月 スパムメッセージの平均サイズが縮小 2007 年の 1 月は、画像スパムが全スパムの 52% を占めてピークに達しました。その後 画像スパムの数が減少するにつれて、そのメッセージの平均サイズも著しく縮小する傾 向にあることが確認されました。 スパムメッセージの平均サイズ(バイト) 過去 90 日間で記録された画像スパムを分析すると、画像スパムの 84% は平均サイズが 10KBから 50KB の間であることが分かりました。2007 年 11 月から 2008 年 1 月までの 全体のスパムメッセージでは、大部分(64%)のスパムメッセージのサイズが 2KB から 5KB の間であるのに対し、サイズが 10KB から 50KB の範囲に分類されるのは 5% だけで す。メッセージのサイズが大きいとメールインフラに過剰な負荷をかけることになり、 エンドユーザーは正規の電子メールを受信できなくなる恐れがあります。さらに分析を 進めると、画像などの添付ファイルを含むスパムが全スパムに占める割合は、2008 年 1 月には 8% 以下にまで減少したことが分かりました。 (&&&& '.&&& ',&&& '*&&& '(&&& '&&&& .&&& ,&&& *&&& (&&& %& . '% (- %( - %& - %& '( %( '' %& - -% &%( '& (/% %& (.% %& -% (- %& (,% - %& +% (- %& (*% %& - %& )% (- (% (- '% (- %& - & 10 マンスリースパムレポート 2008 年 2 月 全スパム 画像スパム +&a8#'&&a8 ' '&a8#+&a8 + &a8#(a8 + (a8#+a8 ( +&a8#'&&a8 . +a8#'&a8 + +a8#'&&a8 (, (a8#+a8 ,* 11 '&a8#+&a8 .* マンスリースパムレポート 2008 年 2 月 添付ファイルを含むスパムの割合 /$&& .$&& -$&& ,$&& +$&& *$&& )$&& ($&& '$&& -% & '% . /% & '% . '' %& '% . ') %& '% . '+ %& '% . '%& '% . '/ %& '% . (' %& '% . () %& '% . (+ %& '% . (%& . &. '% +% &. '% )% &. '% '% &- '% &% %) '( '( %( .% &- &$&& 依然として活発な Google 検索を悪用するスパム 2007 年 11 月のスパムレポートの中で初めて報告してから、依然としてスパム発信者は Google 検索を悪用しその利用者を搾取し続けています。今月はスパムドメインに直接 「検索文字列」を組み込んだものが確認されました。このスパムメールにある URL は一 見「検索文字列」のようですが、これをクリックして表示されるのは検索結果ではなく URL の最後にあるスパムドメインです。Google ドメインに関連する TLD も変わっていま す。 12 マンスリースパムレポート 2008 年 2 月 マネーロンダリングのための履歴書を受け付けるスパム この数ヶ月間で最もしつこいイタリア系スパムの 1 つは、在宅仕事の紹介でした。こ のような電子メールでは「We are currently accepting resumes for the following positions (現在、以下の業務に関する履歴書を受け付けております)」と記載されています。そ の業務とは次のとおりです。 • オンライン決済の管理エージェント • リモートサポートエージェント 上記のどちらのエージェントも、1 日に働く時間は 2 時間から 4 時間であり、1 週間で 550 ユーロを稼ぐことができるというものです。これは現在のイタリアの経済状況を考 えると確かに魅力的ではあります。しかしだからこそ、このように大都市から離れた場 所で仕事を見つけるということは難しいのです。この種の詐欺が提示する要件とは、応 募者はイタリア国内に居住していなくてはならないということです。この理由とはなん でしょうか。サイバー犯罪者がフィッシング攻撃などの詐欺を行い、詐欺被害者から銀 行の口座情報を得ると、彼らはヨーロッパやアメリカなどの正規の銀行口座にアクセス する必要があります。これは、取引の信頼性を高める一方で追跡をしにくくするためで す。簡単なメールフォームに記入をしてしまう人なら誰であっても「reciclaggio di denaro sporco(汚いお金のリサイクル)」、つまりマネーロンダリングの世界に巻き込まれ る危険性があるのです。 このような特殊な攻撃は、件名やまれに変更する送信者を識別するシマンテックのフィ ルタリング技術によって簡単にブロックできます。2008 年 1 月だけでも、これらのメッ セージの少なくとも 65 万件がブロックされました。 13 マンスリースパムレポート 2008 年 2 月 ヨーロッパのビザに関する問題を早期に解決すると申し出るスパム ビザに関する規制を厳しくしようとする最近の政治的な動きを利用するビザ関連スパム が登場しました。2007 年 12 月シェンゲン協定に署名するまで、ポーランドはビザの取 得が比較的容易だったため、多くのロシア人やウクライナ人が訪れる人気のある場所で した。ビザ関連スパムは煩わしい手続きを回避する方法があると受信者に申し出ます。 次の例では、モスクワのある会社がポーランドその他の EU 加盟国へのビザを簡単に、そ して迅速に取得できる方法を紹介しています。 14 マンスリースパムレポート 2008 年 2 月 SMS メッセージ経由でポルノサイトへのアクセスを提供するロシア系スパム ロシア系ポルノスパムは現在も出回っています。通常、この種のスパムには画像と URL リンクが含まれています。最近この種のスパムに新しい傾向が確認されました。スパム メールにスパム発信者の Web サイトと偽の送信者情報(これはすべてのロシア系スパム に顕著な特徴です)が含まれていたのです。しかし、典型的なロシア系スパムとは異な り、先に進むために正規のオンライン登録サービスではなく SMS 経由で登録情報を送信 することを求めます。ポルノ画像を受信するために、ユーザーはこれに従わなくてはな りません。スパム発信者は、SMS サービスを経由して登録することにより、ユーザーは それ以降ずっとポルノ画像を受け続けることができるのだと主張します。ユーザーから 送信されるすべての SMS に課される料金は 4.75US ドルです。実際には、受信者は個人 情報を入手しようというスパム発信者に対して料金を払っていることになります。 15 マンスリースパムレポート 2008 年 2 月 奇妙なスパム これまで何年もの間、シマンテックは極端なスパムから全くおかしなスパムまでのあら ゆるスパムを確認してきましたが、今月確認されたスパムはその中でも最も変わったも のでした。 遺伝子を自然に向上させる インチキや嘘つきもついにここまで来ました。今最も注目を集める医療、遺伝科学で す。この小さな宝石が肥満、鬱、関節炎、コレステロール過多、インポテンツまで治す ことができるのです。そのうえ、若返ることだってできます。薬も外科手術も必要あり ません。 16 マンスリースパムレポート 2008 年 2 月 ガソリン価格の高騰によりスパム発信者もバイオ燃料に注目している ガソリン価格の高騰にうんざりしていませんか? 使用したり販売したりできるほどガソリ ンが絶え間なく共有されていたらと考えていませんか? スパム発信者はそのような問題を 解決すると主張します。今月は、肥料をバイオ燃料に変えることができる装置を販売す るというロシア系スパムがいくつか確認されました。 この魅力的な取引に受信者を呼び込むためにスパム発信者が使うセールスポイントは、 この製品を購入した人は肥料から電気やガスを作り出して、友人や家族にそれを売るこ とができるというものです。スパム発信者は「肥料が 1 トンあれば潜在的に 50 リットル のディーゼル燃料を持っていることになる」と言います。 1 トンもの肥料を手放すほどの価値があるでしょうか? 17