Comments
Description
Transcript
2009 年スパムの動向
2009 年 12 月 第 36 号 今月最も目立った動向としては、スパムメッセージ発信源がアジア太平洋地域と南米へ引き続き推移しているこ とと、スパムメッセージの平均サイズの変化が挙げられます。メッセージのうち 71.08 パーセントの平均サイズは 2kb から 5kb、19.53 パーセントのメッセージの平均サイズは 5kb から 10kb となっています。11 月は、2kb から 5kb のメッセージサイズのカテゴリが 20 パーセント増加し、5kb から 10kb のメッセージサイズのカテゴリは 18 パーセント減少しました。この変化は、添付スパムの減少と一致します。11 月の添付スパムの割合の平均は、 5.27 パーセントでした。スパムのカテゴリ別では、インターネットスパムが 4 パーセント減少し、スパムメッセージ 全体の 35 パーセントを占めています。 2009 年 12 月のレポートでは、以下のトレンドについて説明します。 • Special Spotlight: 2009 Year in Review (2009 年スパムの動向) • Jingle Bells ‐ No Recession for Retail Spam (クリスマス商戦便乗スパム) • Region of Origin for Spam Continues to Shift to APJ and placeSouth America (先月に続きアジア・南米か ら発信されるスパムが増加) • H1N1 Flu – A Scare Reused To Spread Malware (新型インフルエンザワクチンプログラムを装ったスパム) • Irish Under Attack as Spam Emails (Turscar ríomhphoist) in Irish Emerge! (アイルランド語のスパム) • November 2009: Spam Subject Line Analysis (2009 年 11 月迷惑メール件名 Top10) • Fake Airline Ticket Spam Taking Off During the Holiday Season (ホリデーシーズンの偽航空券スパム) • Spam Spotlight: Regional Spam Trends APJ (アジア太平洋地域のスパム動向について) Special Spotlight: 2009 Year in Review (2009 年スパムの動向) スパムの増加傾向(電子メールトラフィック全体における割合の平均): • • • 2009 年、スパムは平均して電子メールメッセージ全体の 87.4 パーセントを占めました。 電子メール全体に対するスパムの割合は、2009 年 5 月末に最高 95 パーセントを記録し、McColo の閉鎖後 に最低の 73.8 パーセントを記録しました。 2007 年以降、スパムは平均 15 パーセント増加しています。 2009 年のスパムの主なトレンド: • • • • • • • • • McColo の閉鎖は 2009 年初頭も引き続き影響 FTC (米連邦取引委員会)、悪名の高い悪質なインターネットサービスプロバイダ、3FN Service の業務を停止 Zeus ボットネットの Real Host がインターネットから遮断される FTC、インターネットサービスプロバイダの Pricewert LLC を閉鎖 スパムの発信地域は引き続きアジア太平洋地域と南米に推移する傾向 ‒ 2009 年 11 月、 アジア太平洋地 域は 26 パーセント、南米は 25 パーセント 画像スパム、2007 年の初頭以来の台頭 ‒ 2009 年半ばにスパムメール全体の 22 パーセント以上に到達 スパムは引き続きブログやソーシャルネットワークなどの新しい Web ベースの媒体に移行する傾向 マルウェアを添付したスパムメッセージが増加 ‒ 2009 年 9 月から 10 月にかけて、平均して約 2 パーセント のスパムメールにマルウェアが添付される 6 月 25 日のマイケル・ジャクソンの死去など、有名人に便乗したスパム攻撃が活発化。マイケル・ジャクソン 関連のスパムは、ピーク時にはあっさりとオバマ大統領関連のスパムを抜き、スパム全体の 2 パーセント弱 に。 Dylan Morss Dermot Harnett Sagar Desai 編集責任者 スパム対策エンジニアリング 編集者 スパム対策エンジニアリング 広報担当 [email protected] スパムの今後 ‐ 2010 年以降 スパムの背景にある経済状況は、2010 年もスパマーが活発に活動する年となることを示しています。配信チャ ンネルが比較的安価な状態を保ち、ボットネットがロケーションを変えながらなおも活発であり、スパマーが新た な革新的な方法を開発してアンチスパムフィルタの回避を試みる限り、スパムメールの配信は続くでしょう。 具体的には以下の通りです。 • • • • 配信ネットワークは、ブロードバンド化して毎日オンラインにするターゲットが増えるにつれ、より動的になり つつあります。配信経路も、スパマーが今や感染マシンからメッセージを直接送り付けたり、感染した PC の 中継を利用したり、引き続き Web メールや SMTP 認証を悪用したりするにつれ、ますます複雑化していま す。 より巧妙な新たなボットネットが出現し、それまで優勢だったボットネットを弱体化させることにより、ボット ネットもまた引き続き主導権争いを展開するようになります。ハッカーが一部の地域で発展する IT インフラ をターゲットにしていることから、ボットネットの量は増加の一途をたどっています。 難読化や合法 Web サイトの評判に便乗してアンチスパムフィルタをかいくぐるために、スパマーは引き続き URL 短縮化、フリーの Web ホスティングサーバーを使用して、サービスが機能しなくなるまで評判にダメー ジを与えようとします。 スパマーは引き続きいろいろな手段を組み合わせ、スパムを使ってエンドユーザーに製品やサービスを買 わせようとしたり、フィッシングなどのより有害で危険な活動に導こうとしたりします。スパマーはそうした活 動で、金銭目的でユーザーの個人情報やコンピュータリソースを盗もうとしたり、あるいは PC を感染させて ボットネットワークに組み入れネットワークを強化しようとします。 Jingle Bells ‐ No Recession for Retail Spam (クリスマス商戦便乗スパム) 不況を受けて小売の売上は低迷していますが、スパマーはまるで景気の影響など受けていないようです。2009 年 10 月と 11 月に確認された季節の行事のスパムの件名トップ 10 は以下のとおりです。 これらの季節の行事に便乗したスパムの件名に関する興味深い考察をいくつか挙げてみます。 • 「豪華な品」の販売が引き続き件名によく使われています。スパマーたちはこれまでも偽のブランド名の時 計、財布などの商品の売り込みに目を付けてきました。今回のホリデーシーズンも例外ではありません。ス パマーたちは、ホリデーシーズンを、オンラインでプレゼントを購入するユーザーをターゲットにできる絶好 の好機と捉えているため、この傾向は続くと見られます。 • オンラインショッピングが増加しているのは疑問の余地がありません。このホリデーシーズンも、スパマーは インターネットを利用して、ユーザーがクリックしそうな件名を工夫して考え出しています。上位 2 件の件名 は、スパマーがユーザーにこれら 2 つのよく知られた小売業者から取引メールが来たと信じ込ませようとし たことを示しています。通常、こういった件名ではフィッシングメッセージや詐欺メッセージと関連するものを よく目にしますが、この方法は、ユーザーを偽のオンラインのドラッグストアにリダイレクトしました。 Jingle Bells ‐ No Recession for Retail Spam (クリスマス商戦便乗スパム) Region of Origin for Spam Continues to Shift to APJ and placeSouth America (先月に続 きアジア・南米から発信されるスパムが増加) スパムの状況は多くの変動要素から成り立っています。スパムの発信源もそのひとつです。2009 年 11 月には 以下の動きが見られました。 • EMEA 地域に代わりアジア太平洋地域がスパムの主要な発信地域となりました。現在、アジア太平洋地域 はスパム全体の 26 パーセントを占めています。これは、2009 年 6 月から 9 パーセント増加しています。 • 南米地域はスパム全体の 25 パーセントを占め、2009 年 6 月から 8 パーセント増加しました。 • 北米から発信されたスパムは 21 パーセントで、10 月から 1 パーセント増、2009 年 6 月からは 4 パーセン ト減となりました。 • EMEA 地域はスパム全体の 25 パーセントを占め、2009 年 6 月から 9 パーセント減少しました。 • スパムの発信国は 10 月から安定した動きを見せています。比較的予測されたことですが、オランダがスパ ム発信国のトップ 10 に入りました。2009 年 11 月、オランダはスパム全体の 2 パーセントを占め、スパム発信 国の 9 位にランクインしました。 H1N1 Flu – A Scare Reused To Spread Malware (新型インフルエンザワクチンプログラムを 装ったスパム) 最近のメーラープログラムへの偽のアップグレードやソーシャルネットワーキングサイトへの攻撃により、マル ウェアの作者がなおもユーザーを新しい策略で気を引いたり、脅かしたりしていることが明らかになりました。新 型インフルエンザのパンデミックに便乗しているのが Zeus 系ボットで、この最新の手口では、米疾病管理セン ター(CDC)を装った電子メールを送り付けます。この電子メールには、本物の疾病管理センターのホームページ とそっくりの偽の Web ページへのリンクが含まれています。 この攻撃に確認されている件名は以下の通りです。 State Vaccination Program (州のワクチン接種プログラム) Governmental registration program on the H1N1 vaccination (新型インフルエンザワクチン接種の政府登録プロ グラム) Create your personal Vaccination Profile (あなたの個人ワクチン接種プロファイルを作成) Instructions on creation of your personal Vaccination Profile (あなたの個人ワクチン接種プロファイルの作成案 内) Your personal Vaccination Profile (あなたの個人ワクチン接種プロファイル) State Vaccination H1N1 Program (州の新型インフルエンザワクチン接種プログラム) Creation of your personal Vaccination Profile (あなたの個人ワクチン接種プロファイルの作成) 電子メールのサンプル画像は以下の通りです。 H1N1 Flu – A Scare Reused To Spread Malware (新型インフルエンザワクチンプログラムを 装ったスパム) [Create Personal Profile](個人プロファイルを作成)をクリックすると、ユーザーは偽の疾病管理センターのホー ムページにリダイレクトされます。そのページで、個人新型インフルエンザワクチン接種プロファイルは、氏名、 連絡先の詳細、医療データを記載する電子文書であると説明されます。そして、新型インフルエンザワクチン接 種プロファイルを作成するために、あるファイル(vacc_profile.exe)にアクセスするよう指示されます。これは、シ マンテック製品では Infostealer.Banker.C という悪質なファイルであると検知されています。新型インフルエンザ についての情報を知りたい方は、本物の疾病管理センターから入手した情報をご覧ください。 Irish Under Attack as Spam Emails (Turscar ríomhphoist) in Irish Emerge! (アイルランド語の スパム) 2002 年の国勢調査によると、アイルランドの国民の 42 パーセントがアイルランド語を話せるということです。ア イルランド語はまた、EU レベルでも 2007 年 1 月 1 日から公用語として認められています。そして近頃、アイル ランド語(アイルランド共和国の公用語)によるスパムメッセージの例が確認されました。 アイルランド語のスパムメッセージ オンライン翻訳機能を使って翻訳されたスパム メッセージ(注: 原文では英語に翻訳されていま す) Cairde a chara Seo a maith láithreán gréasáin www (.spamdomain.)com, tá gach ceann de na táirgí fíor agus bunaidh freisin leis an praghas iomaíoch. Ghlacadh do thoil roinnt ama chun cuairt a thabhairt air, sílim go mbeidh ort freastal ar do tháirgí favorate. Má thagann tú ar ár cuideachta ballstáit, beidh muid a thairiscint duit Praghsanna Ballstáit. Ceisteanna ar bith eile nó ag iarraidh a fhogh‐ laim tuilleadh eolais a fháil, is féidir leat teagmháil a dhéanamh lenár spamaddress Nó, is féidir leat ríomhphoist a sheoladh chuig web(@spamaddress.)com, cuirfimid freagra duit chomh luath agus is féidir. Féach ar aghaidh chuig éisteacht ó leat go luath le do thoil bain na scriosaidh nuair a thugann tú cuairt ar ár láithreán gréasáin 皆様 このすばらしい Web サイト www(. スパムドメイン.) Com で扱っている品々はすべてオリジナルであり、 いずれもお手ごろな価格です。ぜひサイトをご覧くだ さい。きっとお気に入りの品に出会えるでしょう。メン バー会社であれば、メンバー価格でお求めいただけ ます。 ご質問やお問い合わせは、スパムアドレス (番号) までご連絡いただくか、 web @ (スパムアドレス.) Com まで電子メールをいただければ、折り返しご連 絡いたします。 ご連絡をお待ちしております。 弊社の Web サイトを表示するには、カッコを外して ください。 よろしくお願いいたします。 このサンプルのアイルランド語の翻訳は全体的にかなりうまくできていますが、フレーズの構成におかしなところ があります。 Irish Under Attack as Spam Emails (Turscar ríomhphoist) in Irish Emerge! (アイルランド語の スパム) 例: le do thoil bain na scriosaidh nuair a thugann tú cuairt ar ár láithreán gréasáin もし、アイルランド語の話者がこれを訳したら、「私どもの Web サイトを表示するには、破壊者を削除してくださ い」となるでしょう。Web を意味する gréasáin は、(携帯電話の)受信地域という意味にもなりますが、この構文 は誤っているため、これが英語から機械的に訳されたものだとわかります。 偶然にも、このメッセージは一般的なオンライン翻訳機能を使って翻訳できます。これらのメッセージはまた、フ リーの Web アカウントから送信されたものでした。これは、ある購買層(この例では小さな集団)をターゲットに するために、オンライン翻訳機能などの無料のオンラインツールをスパマーが駆使する様子を示す一例です。ま た、スパム電子メール(現在、全電子メールの 80 パーセント以上)が現在まさしく世界的な問題であることを示 す一例でもあります。以下に他の例を示します。 アイルランド語のスパムメッセージ オンライン翻訳機能を使って翻訳されたスパム メッセージ(注: 原文では英語に翻訳されていま す) Dia duit Friend Mo chara Linda inniu fuair Iphone as an láithreán gréasáin www (.spamdomain.)com, tá an iphone bunaidh agus go hiomlán unlocked seo chomh maith cuideachta seirbhíse maith. Tá an loingseoireacht tapaidh. Más mian leat a cheannach roinnt leictreo‐ naic, is féidir leat cuairt a thabhairt ar a suíomh gréasáin seo nó a chur dá spam (@Com nó ríomhphost a sheoladh chuig onnmhairiú(@spam.)com le do thoil bain na scriosaidh nuair a thugann tú cuairt ar ár láithreán gréasáin Hope agat siopadóireacht maith! こんにちは。 私の友人のリンダは今日 website www (. スパムドメ イン.)Com から iphone を受け取りましたが、完全に ロック解除されたオリジナルの iphone で、また、これ はサービスの優れた会社です。すぐにお手元にお届 けします。 電化製品をお探しの際は、以下の Web サイト、スパ ム(@Com )または export(@ スパム.) Com に電子 メールでお問い合わせください。 私どもの Web サイトを表示するには、カッコを外して ください。 ぜひショッピングをお楽しみください! November 2009: Spam Subject Line Analysis (2009 年 11 月迷惑メール件名 Top10) 2009 年 11 月のスパム電子メールの件名トップ 10 は、配信不能レポート(NDR) バウンススパムとオンライン学 位取得スパムの件名が混ざり合う結果となりました。NDR バウンススパムはスパム全体の平均 2.23 パーセント (10 月は 4.54 パーセント)を占め、マルウェアを含むスパムメッセージはスパム全体の平均 1.35 パーセント(10 月は 1.9 パーセント)でした。 Fake Airline Ticket Spam Taking Off During the Holiday Season (ホリデーシーズンの偽航空 券スパム) ホリデーシーズンには、多くの人が家族や友人を訪ねるために旅行します。現在の景気を受けて、しばしば格安 航空券に注目が集まっていますが、スパマーも大いにそのことを利用しています。シマンテックの研究者は、格 安航空券や航空券を購入できるギフトクーポンを宣伝するスパムの増加を確認しています。スパムメッセージ は、「AirlineTickets@スパムドメイン 」や「Free.Airline.Tickets@スパムドメイン」などの詐称された電子メールアド レスから発信されています。メッセージ内に記載されているリンクをクリックすると、ユーザーの個人情報やクレ ジットカード情報の入力を求めるオンラインフォームが表示されます。 航空券スパムの件名トップ 10 は以下のとおりです。 件名: RE: 2 [airline name removed] Airline Tickets ([航空会社の名前は削除]航空券) 件名: Fly the skies with cheap airfares. (格安航空運賃で空を飛ぼう) 件名: Fly Anywhere in the U.S. (米国内のどこへでも飛べる航空券) 件名: 2 Round Trip Airline tickets. Fly anywhere in the US (二往復フライト付き航空券。米国内どこでも OK) 件名: Airfare on us ‐ with this [airline name removed] Airlines Reward Card (航空運賃は [航空会社の名前は削 除]のポイントカードで) 件名: Airline ticket bookings made easier. (簡単な航空券予約) 件名: Airline tickets. The quickest way to anywhere. (航空券。どこでも最速で) 件名: Airline tickets to any place in the world. (世界中のどこでも飛べる航空券) 件名: Amazing deals across all airlines. (どの航空会社でも驚きの価格でご提供) 件名: Book cheap airline tickets now! (今すぐ格安航空券のご予約を!) 偽の商品を扱うダイレクトメールは数多く出回っているので、格安チケットが本物かどうか(本当に入手できるの かどうか)を確信できることはないでしょう。ホリデーシーズンに航空券を予約する際、正しい URL を直接ブラウ ザのアドレスバーに入力すれば個人情報を危険にさらすことを防げます。 Spam Spotlight: Regional Spam Trends APJ (アジア太平洋地域のスパム動向について) アジア太平洋地域の全体的なスパムの傾向は、世界的な傾向とかなり一致しています。アジア太平洋地域で は、医療関連のスパムと各種製品関連のスパムがそれぞれ 23%、13% を占めました。 2009 年 11 月、EMEA 地域に代わりアジア太平洋地域がスパムの主要な発信地域という不名誉な地位を継ぎ ました。アジア太平洋地域からはスパム全体の 26 パーセントが発信されています。これは、2009 年 6 月から 9 パーセント増加しています。 Spam Spotlight: Regional Spam Trends APJ (アジア太平洋地域のスパム動向について) この地域から送信されたスパムの大幅な増加は大きな意味を持つものですが、ここ数年これらの地域でイン ターネット接続が急速に普及していることを考えれば、それほど驚くことではありません。その他の要因として は、スパマーが今や感染マシンからメッセージを直接送り付けたり、感染 PC の中継を利用したり、引き続き Web メールや SMTP 認証 を悪用したりして、配信経路がますます複雑化していることがあげられます。 地域別分析をさらに細かく見ていくと、以下のアジア太平洋地域トップ 5 か国の表に示すように、国別ではベト ナムから発信される数が最も多いことがわかります。 2009 年 11 月のアジア太平洋地域ランキング 1 ベトナム 2 インド 3 韓国 4 中国 5 台湾 あなたのビジネス、あなたの従業員、あなたの顧客を守るチェックリスト すべきこと • もう配信を希望しない正当なメール配信の購読を停止する。メール配信を登録するときに、どんな追加項目 を同時に選択しているかを確認する。配信を希望しない項目の選択を外す。 • 自分の電子メールを登録しようとする Web サイトは、よく吟味して選択する。 • 自分の電子メールをインターネット上に公開しない。別の選択肢を検討する。たとえば、メーリングリストに • • • • • • 登録するときは、別のアドレスを使用したり、目的によってアドレスを使い分けたり、使い捨てのアドレス サービスの使用を検討する。 スパムを報告するオプションがある場合は、電子メール管理者が案内する指示に従って、見逃されたスパ ムを報告する。 すべてのスパムを削除する。 電子メールまたは IM メッセージ内の疑わしいリンクは、詐称された Web サイトへのリンクである可能性が あるので、クリックしない。メッセージ内のリンクを信用せずに、Web アドレスを直接ブラウザに入力すること をお勧めします。 オペレーティングシステムが常に最新の状態であることを確認し、総合的なセキュリティ対策製品を使用す る。保護のためのシマンテック製品の詳細については、http://www.symantec.com (日本語サイト http:// www.symantec.com/jp)を参照してください。 組織全体のフィルタリングを実施する上で、Symantec Brightmail メッセージセキュリティファミリーなど、信頼 できるスパム対策ソリューションを検討する。 こちらのシマンテックのスパムレポートサイトを確認し、常に最新のスパム傾向を把握する。 避けるべきこと • • • • • • 不明な電子メールの添付ファイルを開く。こうした添付ファイルはコンピュータを感染させる恐れがあります。 スパムに返信する。通常、送信者の電子メールアドレスは偽造されているので、返信するとさらに多くのス パムが送られてくる可能性があります。 個人情報や財務情報、パスワードなどを尋ねるメッセージのフォームに入力する。信頼できる企業が電子 メールで個人情報を尋ねることはまずありません。不安な場合は、検証済みの電話番号や既知のインター ネットアドレスを新しいブラウザウィンドウに自分で入力するといった、疑わしいフォームと関係のない信頼 できる方法でその企業に連絡するようにします(メッセージ内のリンクをクリックしたり、そのリンクをカットア ンドペーストしたりすることはやめましょう)。 スパムメッセージの製品やサービスを購入する。 スパムメッセージを開く。 電子メールで受け取ったウイルス警告を転送する。これは大抵いたずらです。 発信地域 定義: 発信地域別内訳は、過去 30 日間にスパムメッセージの発信が報告された地域の割合を示しています。 URL の TLD 分布 スパムメッセージサイズの平均 スパム攻撃の動向 世界全体におけるスパムのカテゴリ別内訳 • • • • • • インターネット(Internet)メール攻撃は、インター ネットやコンピュータ関連の製品やサービスを提 供する(または広告する)ものです。例: ウェブホス ティング、ウェブデザイン、スパムウェア 医療(Health)メール攻撃は、健康と医療関連の製 品やサービスを提供する(または広告する)もので す。例: 医薬品、治療法、ハーブ療法 娯楽(Leisure)メール攻撃は、懸賞、当選、格安の 各種娯楽を提供する(または広告する)ものです。 例: 観光旅行、オンラインカジノ 各種製品(Products)メール攻撃は、一般の製品 やサービスを提供する(または広告する)もので す。例: 機器、調査サービス、衣料品、化粧品 金融(Financial)メール攻撃は、金銭、株式など儲 け話を騙って提供するものです。例: 投資、クレ ジットレポート、不動産、ローン 詐欺(Scams)メール攻撃は、詐欺的と判断でき る、または意図的にだまそうとしている、または送 信者の詐欺行為に利用されたことがあるものを言 います。 • • • フィッシング(Fraud)メール攻撃は、有名企業から 来たメールを装っているが、実態は違うというもの です。この種のメールはブランドになりすます商標 詐欺(brand spoofing)やフィッシング(phishing)と 呼ばれ、ユーザーをだましてメールアドレス、財務 情報、パスワードといった個人情報を送信させよう とするものが大半です。例: 口座情報、クレジット カード利用確認、利用明細 ナイジェリアスパム (419 スパム) メール攻撃は、 ナイジェリア刑法第 419 条が詐欺に対する罰則を 規定していることに由来する命名ですが、宝くじの 当選や、引退した政府高官からや死亡した富豪の 遺産によって大金を受け取る権利がある旨を告げ るスパム電子メールを指します。これは、「前払い 金詐欺」と呼ばれることもあります。 政治(Political)メール攻撃は、候補者や選挙戦に ついて広告する、政党や運動への献金を募る、政 治家・選挙戦に関する商品を提供する、などを行 なうものです。例: 政治関連のブログ • アダルト(Adult)メール攻撃は、18 歳以上の成人を対象とする製品やサービスを含み(または紹介し)、攻 撃的なものや不適切な内容のものが多く見られます。例: ポルノ、個人広告、出会い系