こちら - Symantec

March 2011 年 3 月 第 51 号 今や経済界において、「BRICs」（ブラジ
ル、ロシア、インド、中国）は新興市場の
リーダーの代名詞となっている。今月の
レポートでは、これらの国々がスパム市
場においても新たなるリーダーとなりつ
つあるのか見ていく。具体的にはこれら
の国々から発信されるスパム量は、過
去 1 年間で増加または減少しているの
か。スパム市場のシェアを拡大または縮
小している国はあるのだろうか、などで
ある。 先月のレポートで予想したとおり、2010 年 8 月以降初めて日単位の平均スパム量が増加に転じ、
2 月は前月比で8.7 パーセント増加した。全般的に、メッセージ全体に対するスパムの量は、1 月
が 79.55 パーセントであったのに対し、2 月は 80.65 パーセントであった。 フィッシング攻撃の総量は、今月は 38.56 パーセント増加した。大幅な増加をみせた分野は、自動
化ツールキットと一意のドメインである。特に自動化ツールキットで作成されたフィッシング Web サ
イトについては、約 50.33 パーセントという増加が見られた。一意の URL は 33.73 パーセント増加
し、IP ドメイン（http://255.255.255.255 などのドメイン）を持つフィッシング Web サイトは約 47.22 パーセント減少した。Web ホスティングサービスはフィッシング全体の 13 パーセントを占め、これ
は先月比で 38.97 パーセントの増加であった。英語以外のフィッシングサイトの数は、76.51 パー
セント増と大幅な変化をみせ、2 月はポルトガル語、フランス語、スペイン語が上位を占めた。 2011 年 3 月のレポートでは、以下のトレンドについて説明する。 • Examining “BRICs” for Spam（スパムにおける「BRICs」の存在） • 3D Secure Passwords for Recharging Mobile Airtime（携帯電話の通信時間のリチャージを餌に
狙われる 3D セキュア番号） • Mass Phishing on Credit Card Services Brand Using Fake SSL（偽の SSL を使ってクレジットカード
会社のブランドを狙う大量フィッシング攻撃）
• February 2011: Spam Subject Line Analysis（2011 年 2 月迷惑メール件名トップ 10） Dylan Morss 編集責任者
スパム対策エンジニアリング
Eric Park 編集者
スパム対策エンジニアリング David Cowings 編集責任者 セキュリティレスポンス
Mathew Maniyara 編集者 セキュリティレスポンス Sagar Desai 広報担当 [email protected] 指標ダイジェスト 世界全体における
スパムのカテゴリ別内訳 スパム URL の TLD 分布 スパムメッセージの平均サイズ スパム攻撃の動向 指標ダイジェスト スパム発信地域 フィッシングのおとりの所在地 フィッシングホストの所在地 指標ダイジェスト フィッシング戦術の分布 フィッシングターゲットの分野 Examining “BRICs” for Spam（スパムにおける「BRICs」の存在） 「BRICs」（ブラジル、ロシア、インド、中国）が新興市場のリーダーであることは周知の事実である。
これらの国々は近年すさまじい経済成長を遂げ、同様にブロードバンドインターネット環境も急成
長している。このブロードバンド利用の増加により、これらの国々はボットネット（悪意のあるプロ
グラムに感染したコンピュータで構成されたネットワーク）の危険にさらされている。
では、世界全体のスパム量におけるこれらの国々の割合を見てみよう。
上のグラフは、各国におけるスパム発信の割合を示しており、大きく 3 つのトレンドを読み取るこ
とができる。 • 全体的に、スパム市場における BRICs のシェアは過去 15 カ月間で減少している。 • ブラジルの改善率が最も高い。 • 一方、スパム市場におけるロシアのシェアは拡大している。 ここ 15 カ月の間、世界全体におけるスパム発信地域のトップは一貫して EMEA（ヨーロッパ、中
東およびアフリカ）であった。この期間中、
EMEA 地域の多くの国々が上位に位置し続
ける中、スパム市場のシェアを大幅に拡大
している国が 1 つだけある。
それはオランダで、2009 年 11 月には世界
全体におけるスパム発信の割合は 2.3 パー
セントでしかなかったのに対し、2011 年 2 月
には 5.3 パーセントにまで増加している。
2010 年 6 月には、最高値の 6.3 パーセント
を記録した。 3D Secure Passwords for Recharging Mobile Airtime （携帯電話の通信時間のリチャージを餌に狙われる 3D セキュア番号） フィッシャーは、自分のフィッシングサイトが信頼できる安全なサイトだとユーザーに思い込ませる
ためにさまざまな策を講じている。最近のフィッシングサイトには、3D セキュア番号の入力を求め
てくるものがある。
それでは、3D セキュア番号とはどのようなものなのか?
3D セキュア番号は、銀行やカード発行会社と購入者しか知らないパスワードである。つまり、オ
ンライン取引の際、販売者には購入者のセキュア番号がわからない。この番号は、オンライン取
引の安全性を高める目的で、カード所有者に個別に付与されるパスワードである。
通常、多くのオンライン取引では、クレジットカードやデビッドカードの番号とカードの裏に記載さ
れている番号が用いられる。誰かがそのカードを偶然見て、そこに記載されている番号を書き写
した場合、カード所有者は、オンライン取引で金銭を盗まれるリスクにさらされる。しかし、3D セ
キュア番号は、カードに記載されることがないため、このようなリスクを防ぐことができる。さらに、
カード番号と 3D セキュア番号を知っているカード所有者しか入力できないため、入力したのが本
人であることを証明できる。
ただし、カード所有者自身が 3D セキュア番号をフィッシングサイトに提供した場合には、依然とし
て金銭を盗まれるリスクが残る。フィッシャーは、このことを承知しているため、ユーザーを欺いて
3D セキュア番号とその他のカードの詳細情報をフィッシングサイトに入力させようとする。
最近、このような例の 1 つとして、オンライン取引でクレジットカードの詳細情報と 3D セキュア番号の
入力をユーザーに求めるフィッシングサイトが確認されている。このフィッシングサイトが餌にしている
のが、オンラインで購入できる携帯電話の通信時間のリチャージである。このフィッシングサイトは、ト
ルコのユーザーを標的にしており、ページはトルコ語で作成されている。また、要求されるク レジット
カードの詳細情報も、トルコを拠点とする銀行のものである。このサイトで入力する必要がある情報
は、携帯電話番号、リチャージする携帯電話の通信時間、銀行名、カード所有者の名前、クレジット
カード番号、有効期限、CVV、および 3D セキュア番号である。ユーザーの興味を引くために、この
フィッシングページでは、2 つの指定された銀行を利用すると 20 ドル分購入するごとに 10 ドル相当の
ギフトが提供されると謳っている。必要な情報を入力すると、ユーザーはフィッシングサイト上のペー
ジにリダイレクトされ、そこで、さらに詳細なユーザー情報を入力するように求められる。
3D Secure Passwords for Recharging Mobile Airtime （携帯電話の通信時間のリチャージを餌に狙われる 3D セキュア番号）（続き） フィッシングページの 2 ページ目で要求される情報は、母親の旧姓、カード所有者の誕生日、顧
客番号または口座番号、およびパスワードである。このフィッシングページには、ページの下部に
あるボタンをクリックすると、パスワードが SMS としてユーザーの携帯電話に送信されると書かれ
ている。ユーザーが不完全な情報を入力した場合、その操作は承認されずに処理が失敗すると
いう警告も表示されている。さらに、ボタンの下を見ると、オンライン取引では 3D セキュアカード
による購入が安全であり、高度な暗号化システムによって不正な利用が防止されるという内容の
メッセージが示されている。これは明らかに、ユーザーに疑いを抱かせないためのものである。
フィッシングページの 3 ページ目には、すでに
SMS でユーザーに送信したとされるパスワードの
入力が求められる。SMS ではユーザーがパス
ワードを受信するまでに 1 ～ 5 分ほど時間がか
かることが示され、ページを閉じないよう求めら
れる。当然、これはユーザーを欺くための策略
で、パスワードを受信することはない。
このフィッシングの URL には、IP ドメイン（たとえ
ば、http://255.255.255.255 などのドメイン）が使
用され、フィシングサイトは米国のオーランドにあ
るサーバーでホストされていた。 Mass Phishing on Credit Card Services Brand Using Fake SSL （偽の SSL を使ってクレジットカード会社のブランドを狙う大量フィッシング攻撃） 2 月にシマンテックは、大手クレジットカード会社のブラン
ドを狙った大量のフィッシング攻撃を確認した。攻撃には
多くのフィッシング用 URL が使われたが、そのいずれも
SSL（Secure Socket Layer）で保護されていた。では、今回
のフィッシング攻撃が他の攻撃より目立ったのはどのよ
うな点であろうか。 フィッシング用の Web サイトで SSL が使われる例は珍し
く、サイトの数もごく少ないのが一般的である。SSL を使う
フィッシングサイトを作成するには、フィッシャーが偽の
SSL 証明書を作成するか、正規の証明書を攻撃してサイ
トの暗号を入手しなければならない。どちらの場合も、シ
マンテックがこれまでに確認した限り、SSL を使うフィッシ
ングサイトは非常にまれである。今回の攻撃では、偽の
SSL 証明書を使うフィッシング用 URL が 100 以上あっ
た。ここで利用されたのが、1 つの IP アドレスでフィッシ
ングサイトをホスティングし、その IP アドレスを多数のド
メイン名に解決するという仕組みであった。つまり、攻撃
には多数の URL が使われていても、すべて 1 つの IP ア
ドレスに解決され、同じ Web ページが表示されるという
ことである。SSL 証明書は有効期限の過ぎたもので、発
行日が 2006 年、有効期限は 2007 年の日付であった。
フィッシャーが暗号化されたフィッシングサイトを作成した
主な意図は、正規のサイトのように見せかけ、サイトが
安全であるとユーザーに信じ込ませることにある。このフィッシングサイトは、あるクレジットカード
会社のブランドを詐称していた。スイスの顧客を標的とし、フィッシング用のページはフランス語で
書かれている。アクセスしたユーザーには、大手
の電子商取引ブランドのログイン情報も入力する
よう求められる。つまり、フィッシャーは、同じフィッ
シング攻撃で 2 つのブランドについて個人情報を
入手しようと試みている。フィッシングサイトのホス
トサーバーは、米国カリフォルニア州に置かれて
いた。
このフィッシングサイトは、2 段階で個人情報を要
求する。第 1 段階では、ユーザーの身元の確認と
称して、名前、生年月日、住所、電子商取引ブランドの電子メールアドレスとパスワード、母親の
旧姓を求められる。第 2 段階では、銀行名、銀行 ID、カード所有者の名前、カードの種類、カード
番号、個人コード、カードの有効期限、CVV 番号といった銀行取引のデータが要求される。要求さ
れた情報を入力すると、フィッシングサイトは空白の Web ページにリダイレクトされる。このフィッ
シングサイトに騙されたユーザーは、金銭の詐取に必要な情報を盗み出されてしまう。 February 2011: Spam Subject Line Analysis（2011 年 2 月迷惑メール件名トップ 10） スパム総計: 2011 年 2 月上位件名 日
数 Find Out How You Can Start Making $6487 a Month At HOME（自宅で月に 6487 ドル稼ぐ方法) 12 Re: 31 Re: 15 Find Out How You Can Start Making $6487 a Month At HOME（自宅で月に 6487 ドル稼ぐ方法) 29 3 Sarah Sent You A Message （Sarah からメッセージ
が届きました）
11 Marina 21 y.o, I am on‐line now, let’s chat?
（Marina 21歳、今オンライン中、チャットしない?）
2 4 Save‐On‐Cialis‐Viagra‐And‐Many‐Other‐Meds‐
NOW（Cialis、Viagra などの医薬品が今ならお安
く） 9 New post（新しい投稿） 3 5 （無題） 15 New in town（引っ越してきました） 12 6 Have Great SEX And Save 80% Valentines Day
Special （バレンタインデーにすばらしい SEX と
80% の割引を） 8 Save‐On‐Cialis‐Viagra‐And‐Many‐Other‐Meds‐
NOW（Cialis、Viagra などの医薬品が今ならお安
く） 15 7 Hookup 2 Night! （2 晩の SEX!） 8 （無題） 31 8 Guaranteed Quality of Viagra Pills, Fast delivery and Low prices. （確かな品質の Viagra ピルを速
配・低価格で） 5 New Message（新しいメッセージ） 15 5 RE: Date（RE: デート） 18 6 [NO SUBJECT]（[件名なし]） 6 # 1 2 9 10 Trusted Pharmacy >>> Viagra for Sale （信頼ある薬
局 >>> Viagra のセール） Viagra for Sale in our FDA Approved Drugstore. Guaranteed Quality of Pills, Fast delivery and Low prices. （Viagra のセール。FDA 認可の薬局で、確
かな品質のピルを速配・低価格で） スパム総計: 2011 年 1 月上位件名 日
数 通常、ナイジェリア（419）スパムメッセージは小規模の攻撃であり、何百万通という同じ件名の
メッセージが送信されることはない。このため、この分野のスパムが先月比で 5 パーセントも増加
しているにもかかわらず、上の表にはリストされていない。しかしながら、シマンテックは時事問題
を利用した多数のナイジェリア（419）スパム攻撃を確認している。 企業、従業員、顧客を守るチェックリスト
実施するべきこと • 配信を希望しない場合、メール配信の購読を停止する。メール配信を登録するときに、どんな
追加項目を同時に選択しているかを確認する。配信を希望しない項目の選択を外す。 • 自分の電子メールを登録しようとする Web サイトは、よく確認し、安全だと確信できた時点で
登録する。 • 自分の電子メールをインターネット上に公開しない。または別の選択肢を検討する。たとえ
ば、メーリングリストに登録するときは、別のアドレスを使用したり、目的によってアドレスを使
い分けたり、使い捨てのアドレスサービスの使用を検討する。 • スパムを報告するオプションがある場合は、電子メール管理者が案内する指示に従い、見逃
されたスパムを報告する。 • すべてのスパムは削除する。 • 電子メールまたは IM メッセージ内の疑わしいリンクは、詐称された Web サイトへのリンクで
ある可能性があるので、むやみにクリックしない。また、メッセージ内のリンクを信用せずに、
Web アドレスを直接ブラウザに入力することをお勧めする。 • オペレーティングシステムが常に最新の状態であることを確認し、総合的なセキュリティ対策
製品を使用する。スパム対策に関するシマンテック製品については、
http://www.symantec.com/jp を参照のこと。 • 組織全体のフィルタリングを実施する上で、Symantec Brightmail ファミリーなど、信頼できるス
パム対策ソリューションを検討する。 • こちらのシマンテックのスパムレポートサイトを確認し、常に最新のスパム傾向を把握する。 避けるべきこと •
•
•
•
•
•
不明な電子メールの添付ファイルを開く。こうした添付ファイルはコンピュータを感染させるお
それがある。 スパムに返信する。通常、送信者の電子メールアドレスは偽造されているので、返信するとさ
らに多くのスパムが送られてくる可能性がある。 個人情報や財務情報、パスワードなどを尋ねるメッセージのフォームに入力する。一般的に、
信頼できる企業が電子メールで個人情報を尋ねることはない。不安な場合は、検証済みの電
話番号や既知のインターネットアドレスを新しいブラウザウィンドウに自分で入力するといっ
た、疑わしいフォームと関係のない信頼できる方法でその企業に連絡する（メッセージ内のリ
ンクをクリックしたり、そのリンクをカットアンドペーストしたりしない）。 スパムメッセージの製品やサービスを購入する。 スパムメッセージを開く。 電子メールで受け取ったウイルス警告を転送する。これは大抵いたずらである。 * スパムデータは、Symantec Probe Network を通過したメッセージを基にしている。 * フィッシングデータはストラテジックパートナー、お客様、セキュリティソリューションなどの情報源を組み合わせて集計している。