スパムレポート 2011/04月号

2011 年 4 月 第 52 号 スパム脅威の動向において、Rustock が
再び注目を集めている。Rustock は数カ月
前に 2 週間ほど休眠状態に入った後、
2011 年 3 月 16 日にシャットダウンされ
た。その結果、この出来事は世界全体の
スパム量に劇的な影響を与えた。2 月に
8.7 パーセントの増加が見られた日単位の
平均スパム量は、3 月には 27.43 パーセ
ントも減少した。このスパム総量の減少に
より、スパムの占める割合も低下した。
一方、スパマーは日本を襲った大地震に
便乗して、スパム、詐欺メッセージ、マルウェア、フィッシング攻撃を送信し続けた。
全般的に、メッセージ全体に対するスパムの量は、2 月が 80.65 パーセントであったのに対し、
3 月は 74.68 パーセントであった。 フィッシング攻撃の総量は、今月は 22.71 パーセント減少した。自動化ツールキットと一意のド
メインは、先月と比べて減少が見られ、自動化ツールキットで作成されたフィッシング Web サ
イトについては、約 41.54 パーセント減少した。また、一意の URL は 14.02 パーセント減少し、
IP ドメイン（http://255.255.255.255 などのドメイン）を持つフィッシング Web サイトは約 30.94 パーセント減少した。また、Web ホスティングサービスはフィッシング全体の 13 パーセントを占
め、これは先月比で 22.31 パーセントの減少であった。英語以外のフィッシングサイトの数は、
58.22 パーセントの大幅な減少をみせ、3 月はポルトガル語、イタリア語、スペイン語が上位を
占めた。 2011 年 4 月のレポートでは、以下のトレンドについて説明する。
Rustock Shutdown（Rustock のシャットダウン） Spammers’ Take on the Earthquake in Japan（日本の大震災を悪用するスパマー） Phishers Have No Mercy for Japan（日本の大震災を悪用するフィッシング詐欺） Fake Donations for New Zealand Earthquake Victims（ニュージーランド大地震の支援を騙る寄
付金詐欺） March 2011: Spam Subject Line Analysis（2011 年 3 月迷惑メール件名トップ 10） Dylan Morss 編集責任者
スパム対策エンジニアリング
Eric Park 編集者
スパム対策エンジニアリング David Cowings 編集責任者 セキュリティレスポンス
Mathew Maniyara 編集者 セキュリティレスポンス Sagar Desai 広報担当 [email protected] 指標ダイジェスト 世界全体における
スパムのカテゴリ別内訳 スパム URL の TLD 分布 スパムメッセージの平均サイズ スパム攻撃の動向 指標ダイジェスト スパム発信地域 フィッシングのおとりの所在地 フィッシングホストの所在地 指標ダイジェスト フィッシング戦術の分布 フィッシングターゲットの分野 Rustock Shutdown（Rustock のシャットダウン） シマンテックのセキュリティブログで紹介したように、米国政府と
Microsoft 社との連携により
実行された Rustock のシャットダウンにより、2011 年 3 月 16 日に世界全体のスパム量が大
幅に減少し、前日と比べて 24.7 パーセントの減少が見られた。翌 17 日には、スパム量はさ
らに 11.9 パーセント減少した。それ以降、スパム量は低い値を保っている。
実際、2010 年末にも Rustock は休眠状態にあった。また、このブログでは、Rustock ボット
ネットが 2010 年 12 月 25 日に姿を消し、2011 年 1 月 10 日に復活したことを紹介した。今回
の新たなシャットダウンにより、2 つの期間に基づいて、他の指標の相関関係を導き出すこと
が可能になった。Rustock は世界で最も活発なボットネットの 1 つであったため、そのシャット
ダウンの影響は、スパム量以外の指標にも表れている。 次のグラフは、TLD（最上位ドメイン）が .ru の URL を持つスパムの割合を示している。昨年末
に Rustock が一時的に休眠状態になったときには、TLD が .ru の URL を持つスパムの割合
が減少した。しかし、Rustock の復活とともに、TLD が .ru の URL を持つスパムの量は再び増
加した。そして 3 月 16 日に、この割合はまた急減した。 Rustock Shutdown（Rustock のシャットダウン）（続き） 同様の傾向は、メッセージサイズバケット指標でも見られる。次のグラフは、メッセージサイズ
が 2 ～ 5 KB のスパムメッセージの割合を示している。
一方、2011 年 3 月末にかけて、zip 添付ファイルスパムの増加が確認されている。確認され
たサンプルはすべて、宅配業者からの正規の配達予定案内や配達不能通知を装ったもので
あった。メッセージ本文には、荷物の配達に必要な詳細情報や手順については、zip された実
行可能ファイルを開くように記載されている。
受信者が実際に zip ファイルをダウンロードすると、以下の脅威がインストールされる（各リン
クをクリックすると、それぞれの脅威についてのシマンテックのセキュリティレスポンス情報が
開く）。 Trojan.FakeAV Backdoor.Cycbot Trojan.Sasfis 1 つのボットネットはシャットダウンされたが、スパマーは再びその力を取り戻しつつあるよう
である。 Spammers’ Take on the Earthquake in Japan（日本の大震災を悪用するスパマー） これまで、東南アジアの津波やチリの大地震のような大震災発生時には、スパマーはこれら
の悲劇に便乗して、マルウェア、スパム、詐欺メッセージ、フィッシング攻撃を送信してきた。こ
の傾向は、先月日本を襲った巨大地震でも続いた。
この最初の例では、スパマーはユーザーを騙すために、災害のビデオのようなものをメッ
セージに埋め込んでいる。
しかし、これは実際にはマルウェアへのリンクを含む、ただの画像である。このリンクを開く
と、ユーザーは実行可能ファイルのダウンロードとインストールを求められるが、これはブラジ
ルのオンラインバンキングを狙うトロイの木馬に関連するマルウェアである。画像のリンク先
hxxp://xxx.<削除済み>trade.com/globo.com.html に進むと、攻撃者のコンピュータからマル
ウェアのペイロードがダウンロードされる。インストールに成功すると、マルウェアはユーザー
のインターネットバンキングのログイン情報などの機密情報を収集する。
Spammers’ Take on the Earthquake in Japan（日本の大震災を悪用するスパマー）
（続き） 今回の詐欺では、大震災の発生以来広まっている 419 詐欺（ナイジェリア詐欺）メールを送
信して被災者支援を悪用する手口も見られる。ナイジェリア詐欺の亜種として最近確認され
た例では、原発の危機的な状況への取り組みを紹介しつつ、地震と津波に被災した人々を
支援しようという偽のメッセージが使われている。
このようなメッセージのほか、震災を悪用した
フィッシング行為も見られた。詳しくは、次のセ
クション「Phishers Have No Mercy for Japan（日本の大震災を悪用するフィッシング詐欺）」を参
照のこと。
地震と津波の被災者に対する支援は、正規の確実な経路で行うことをお勧めする。
Phishers Have No Mercy for Japan（日本の大震災を悪用するフィッシング詐欺） 2011 年 3 月 11 日、マグニチュード 9.0 の大地震が日本を襲い、最悪の惨事に見舞われて
いる。世界中の国々が日本を支援している。その一方で、フィッシャーは、この状況に便乗
し、善意の提供者からの援助資金を盗み、悪用しようとしている。 Phishers Have No Mercy for Japan（日本の大震災を悪用するフィッシング詐欺）
（続き） シマンテックは、日本の地震被災者への寄付を募る有名なオンライン決済サイトを偽装したフィッ
シングサイトを確認している。フィッシャーは、フィッシングページが正規の Web サイトに見えるよ
うに細部にまで注意を払っている。ページの左上隅には、人道的支援団体である米国赤十字社
のロゴを配置し、寄付金がそこに送金されるかのように見せかけており、ページの左側には、寄
付金の概要が目立つように表示され、1 ユーロと示されている。寄付の概略とともに、同じフィッシ
ングページにリダイレクトされる「Donation for Japan earthquake victims（日本の地震被災者への
寄付）」というハイパーリンクが用意されている。フィッシャーは、ユーザーが躊躇せず支払うこと
を見込んで、寄付金を 1 ユーロというかなりの少額に設定している。
支払方法は 2 通りあり、いずれかを選択するよう要求される。1 つ目の方法として、このオンライ
ン決済サイトの顧客の場合は、そのサイトのアカウントから支払うように求められる。2 つ目の方
法では、クレジットカードまたはデビットカードの詳細情報を入力するよう求められる。入力が要求
されるカード情報は、カードの種類、ユーザー名、誕生日、社会保障番号、母親の旧姓、住所、電
話番号、そして電子メールアドレスである。必要な情報を入力すると、「Thank you」というメッセー
ジが表示される。このフィッシングサイトは、米国に設置されているサーバーでホストされていた。
フィッシャーは、金銭を詐取するためにユーザーの個人情報を盗む手口を常に考えている。今回
のような寄付金を募る偽のサイトは、以前からよく使われている罠である。 Fake Donations for New Zealand Earthquake Victims （ニュージーランド大地震の支援を騙る寄付金詐欺）
2011 年 2 月 22 日、ニュージーランドのクライストチャーチはマグニチュード 6.3 という大地震
によって壊滅的な被害を受けた。この震災により、何千人もの人々が住む家を失った。詐欺
師たちはいつものように、寄付金を募るスパムメールを送信してこの惨事を悪用しようとして
いる。この 1 月にも、セハナ洪水の被災者を救うと詐称して募金を求める同様の手口が使わ
れたばかりである。 このフィッシングサイトは、ニュージーランド赤
十字社の Web サイトを詐称し、ユーザーに支
援を求めている。はじめに地震の詳報を伝
え、クライストチャーチにおける被害の甚大さ
を訴えたうえで、寄付金をオンラインで安全に
送信する方法が詳しく説明されている。また、
オンラインで寄付を行うと、税務処理に必要な
領収証が電子メールで送信されるという注意
書きもある。選択できるクレジットカードは 3 種類用意されている。
寄付金を送るために、ユーザーは特定の個人情報を入力するよう求められる。1 番目の
フィールドは、寄付金の名目を選択するドロップダウンメニューである。「New Zealand Earth‐
quake 2011（2011 年のニュージーランド大地震）」、「Annual Appeal 2011（2011 年分の年間寄
付金）」、「Australian Floods Fund（オーストラリア大洪水の支援基金）」、「Landmine Appeal
（地雷廃絶キャンペーン）」、「Pacific Disaster Preparedness Fund（太平洋災害準備基金）」、
「General Fund Appeal（一般基金への寄付）」などの目的が並んでいる。
ここで要求される個人情報は、電子メールアドレス、住所、クレジットカード番号、3 桁のセ
キュリティ番号、カードの有効期限、4 桁の PIN コード、運転免許証番号、生年月日などであ
る。必要な情報を入力すると、Web ページは赤十字社の正規サイトにリダイレクトされる。こ
のフィッシングサイトのホストサーバーは、オーストリアのウィーンに置かれていた。 March 2011: Spam Subject Line Analysis（2011 年 3 月迷惑メール件名トップ 10） # 1 スパム総計: 2011 年 3 月上位件名 日
数 スパム総計: 2011 年 2 月上位件名 日
数 Re: ru girl（Re: ロシアの女の子） 13 Find Out How You Can Start Making $6487 a Month At HOME（自宅で月に 6487 ドル稼ぐ方法) 12 2 Re: ru girls（Re: ロシアの女の子達） 11 Re: 15 3 （無題） 30 Sarah Sent You A Message （Sarah からメッセージが
届きました）
11 4 Re: viagrow 7 Save‐On‐Cialis‐Viagra‐And‐Many‐Other‐Meds‐NOW
（Cialis、Viagra などの医薬品が今ならお安く） 9 5 Re: Windows 7, Office 2010, Adobe CS5 ... 6 （無題） 15 6 Save‐80% ‐On‐Viagra‐Levitra‐And‐Cialis（Viagra、
Levitra、Cialis が80% 引き） 19 Have Great SEX And Save 80% Valentines Day Spe‐
cial （バレンタインデーにすばらしい SEX と 80% の
割引を） 8 7 Hi! 30 Hookup 2 Night! （2 晩の SEX!） 8 5 8 Hi. 30 Guaranteed Quality of Viagra Pills, Fast delivery and Low prices. （確かな品質の Viagra ピルを速配・低
価格で） 9 Hey! 30 Trusted Pharmacy >>> Viagra for Sale （信頼ある薬
局 >>> Viagra のセール） 5 30 Viagra for Sale in our FDA Approved Drugstore. Guaranteed Quality of Pills, Fast delivery and Low prices. （Viagra のセール。FDA 認可の薬局で、確か
な品質のピルを速配・低価格で） 6 10 Hey. 2011 年 3 月の迷惑メール件名トップ 10 は、オンラインの薬局、偽造ソフト、アダルト出会い
系のスパムメッセージで構成されています。 企業、従業員、顧客を守るチェックリスト
実施するべきこと 配信を希望しない場合、メール配信の購読を停止する。メール配信を登録するときに、どんな追
加項目を同時に選択しているかを確認する。配信を希望しない項目の選択を外す。 自分の電子メールを登録しようとする Web サイトは、よく確認し、安全だと確信できた時点で登
録する。 自分の電子メールをインターネット上に公開しない。または別の選択肢を検討する。たとえば、
メーリングリストに登録するときは、別のアドレスを使用したり、目的によってアドレスを使い分
けたり、使い捨てのアドレスサービスの使用を検討する。 スパムを報告するオプションがある場合は、電子メール管理者が案内する指示に従い、見逃さ
れたスパムを報告する。 すべてのスパムは削除する。 電子メールまたは IM メッセージ内の疑わしいリンクは、詐称された Web サイトへのリンクであ
る可能性があるので、むやみにクリックしない。また、メッセージ内のリンクを信用せずに、
Web アドレスを直接ブラウザに入力することをお勧めする。 オペレーティングシステムが常に最新の状態であることを確認し、総合的なセキュリティ対策製
品 を 使 用 す る。ス パ ム 対 策 に 関 す る シ マ ン テ ッ ク 製 品 に つ い て は、
http://www.symantec.com/jp を参照のこと。 組織全体のフィルタリングを実施する上で、Symantec Brightmail ファミリーなど、信頼できるスパ
ム対策ソリューションを検討する。 こちらのシマンテックのスパムレポートサイトを確認し、常に最新のスパム傾向を把握する。 避けるべきこと 不明な電子メールの添付ファイルを開く。こうした添付ファイルはコンピュータを感染させるおそ
れがある。 スパムに返信する。通常、送信者の電子メールアドレスは偽造されているので、返信するとさら
に多くのスパムが送られてくる可能性がある。 個人情報や財務情報、パスワードなどを尋ねるメッセージのフォームに入力する。一般的に、信
頼できる企業が電子メールで個人情報を尋ねることはない。不安な場合は、検証済みの電話
番号や既知のインターネットアドレスを新しいブラウザウィンドウに自分で入力するといった、
疑わしいフォームと関係のない信頼できる方法でその企業に連絡する（メッセージ内のリンク
をクリックしたり、そのリンクをカットアンドペーストしたりしない）。 スパムメッセージの製品やサービスを購入する。 スパムメッセージを開く。 電子メールで受け取ったウイルス警告を転送する。これは大抵いたずらである。 * スパムデータは、Symantec Probe Network を通過したメッセージを基にしている。 * フィッシングデータはストラテジックパートナー、お客様、セキュリティソリューションなどの情報源を組み合わせて集計している。