Comments
Description
Transcript
シマンテックマンスリースパムレポート 2008 年 3 月
シマンテックマンスリースパムレポート 2008 年 3 月 Symantec Messaging and Web Security 作成 マンスリースパムレポート 2008 年 3 月 Doug Bowers 編集責任者 スパム対策エンジニアリング Dermot Harnett 編集者 スパム対策エンジニアリング Dave Forstrom 広報担当 [email protected] 寄稿者 Kelly Conley Manager シマンテックセキュリティレスポンス Eric Lin Sr. Security Response Technician シマンテックセキュリティレスポンス Pavlo Prodanchuk Sr. Security Response Technician シマンテックセキュリティレスポンス Joseph Long Security Response Lead シマンテックセキュリティレスポンス Kevin X Yu Security Response Lead シマンテックセキュリティレスポンス Robert Vivas Supervisor シマンテックセキュリティレスポンス Shravan Shashikant Pr. Business Intelligence Analyst スパム対策エンジニアリング Samir Patil Security Response Lead シマンテックセキュリティレスポンス Frank Kuang Security Response Technician シマンテックセキュリティレスポンス マンスリースパムレポート 2008 年 3 月 今月のスパム状況 全電子メールに占めるスパムの割合は、先月に引き続き78.5%でした。これは2007年前 半の平均である61%から上昇しています。手口は先月からそれほど大きく変わっていま せんが、著名人やセレブリティ、イベント、有名ブランドなどを利用したソーシャルエ ンジニアリングはスパム発信者の創造性をかき立てるようです。 今月のハイライト: • 米国大統領選挙に関連したスパムレースがヒートアップ: 最初は2007年10月のロン・ポー ル氏、次は2月上旬のヒラリー・クリントン氏、そして現在はホワイトハウスへ向かう レースの中盤にいます。数週間前、スパム発信者たちはこのレースにマイク・ハッカ ビー氏、バラク・オバマ氏、そしてジョン・マケイン氏を新たに付け加えました。 • セレブリティ関連の偽物のビデオが最近のスパムの罠: 発端はヒラリー・クリントン氏の キャンペーンビデオを閲覧できると偽る悪意のあるリンクでしたが、現在ではマイケ ル・ジャクソン氏、ヘザー・ミルズ氏、インディ・ジョーンズなどに対しても同様のリ ンクが出回っています。 • スパム発信者が国際婦人デーを祝福: スパム発信者が好んで用いる手口であるソーシャ ルエンジニアリングにかかっては、スーパーボウル、バレンタインデー、大統領の日な ど、利用されるイベントやホリデーには事欠きません。今回のターゲットは国際婦人 デーです。 • サウスウエスト航空のチケットを使って受信者を誘惑するスパム: このメールが届いても、 サウスウエスト航空から新しいチケットを紹介されたときの音が鳴るわけではありま せん。しかし、サウスウエスト航空の名が使われています。スパム発信者はサウスウエ スト航空というブランドをハイジャックし、無料チケットを差し上げますと言ってユー ザーを誘惑します。 その他に注目すべき項目: • 注目スパム: アジア太平洋地域(APJ)のスパムトレンド - スパムの猛吹雪が中国を直撃 - 中国の芸能スキャンダルはスパム発信者の夢 - Pump and Dump(不当に株価を引き上げるスパム)の中国語版 • スパム発信者たちの不名誉の殿堂: 住宅ローンに埋もれないために墓地を売ろう 1 マンスリースパムレポート 2008 年 3 月 世界全体におけるスパムのカテゴリ別内訳 定義: スパムのカテゴリデータは、Symantec Probe Network を通過したメールの分類によるも のです。 世界全体におけるスパムのカテゴリ別内訳 金融 10% アダルト 6% フィッシング 6% 詐欺 9% 医療 12% 各種製品 26% インターネット 23% 娯楽 8% 2 マンスリースパムレポート 2008 年 3 月 分類カテゴリの定義 各種製品(Products) 各種製品(Products)メール攻撃は、一般の製品・サービスを提供する(または広告す る)ものです。例:機器、調査サービス、衣料品、化粧品 アダルト(Adult) アダルト(Adult)メール攻撃は、18 歳以上の成人を対象とする製品・サービスを含み (または紹介し)、攻撃的なものや不適切な内容のものが多く見られます。例:ポル ノ、個人広告、出会い系 金融(Financial) 金融(Financial)メール攻撃は、金銭、株式など儲け話を騙って提供するものです。 例:投資、クレジットレポート、不動産、ローン 詐欺(Scams) 詐欺(Scams)メール攻撃は、詐欺的と判断できる、または意図的にだまそうとしてい る、または送信者の詐欺行為に利用されたことがあるものを言います。例:ナイジェリ アへの投資、ネズミ講、チェーンレター 医療(Health) 医療(Health)メール攻撃は、健康・医療関連の製品・サービスを提供する(または広 告する)ものです。例:医薬品、治療法、ハーブ療法 フィッシング(Fraud) フィッシング(Fraud)メール攻撃は、有名企業から来たメールを装っているが、実態 は違うというものです。この種のメールはブランドになりすます商標詐欺(brand spoofing)やフィッシング(phishing)と呼ばれ、ユーザーをだましてメールアドレス、財務 情報、パスワードといった個人情報を送信させようとするものが大半です。例:口座情 報、クレジットカード利用確認、利用明細 娯楽(Leisure) 娯楽(Leisure)メール攻撃は、懸賞、当選、格安の各種娯楽を提供する(または広告す る)ものです。例:観光旅行、オンラインカジノ、ゲーム インターネット(Internet) インターネット(Internet)メール攻撃は、インターネットやコンピュータ関連の製品・ サービスを提供する(または広告する)ものです。例:ウェブホスティング、ウェブデ ザイン、スパムウェア 政治(Political) 政治(Political)メールは、候補者や選挙戦について広告する、政党や運動への献金を 募る、政治家・選挙戦に関する商品を提供する、などを行なうものです。例:政党、選 挙、献金 3 マンスリースパムレポート 2008 年 3 月 米国大統領選挙に関連したスパムレースがヒートアップ 米国の大統領選挙で白熱した戦いが続いています。これに伴い、候補者たちに関連したスパム メールも急増を続けていることが確認されています。2007年10月、立候補者のロン・ポール 氏がスパム発信者に狙われる最初の標的となりました。先月は大統領選挙の最有力候補である ヒラリー・クリントン氏関連のスパムが登場し、ロン・ポール氏の後に続きました。このスパ ムはヒラリー・クリントン氏関連のビデオへのリンクだと偽り、トロイの木馬をダウンロード させようとします。これ以降、ヒラリー・クリントン氏の名前を使ったURLはポルノスパムや バイアグラスパムにも使用されるようになりました。現在、スパム発信者の標的は他の有力 候補に移っています。マイク・ハッカビー氏、バラク・オバマ氏、ジョン・マケイン氏をター ゲットにしたスパム発信者は、彼らの名前に携帯用しわ取り機、医療、一攫千金に関連したス パムメッセージのリンクを付けています。 4 マンスリースパムレポート 2008 年 3 月 セレブリティ関連の偽物のビデオが最近のスパムの罠 マイケル・ジャクソン氏、ヘザー・ミルズ氏、インディ・ジョーンズ、そしてヒラリー・ク リントン氏のニュースが最近よく取り上げられます。過去の栄光をよみがえらせようとする 人、伝説的人物との離婚協議の真っ最中にある人、映画の続編で話題のキャラクター、大 統領選挙の候補者などです。彼らに共通していることが1つあります。それは、スパム発信 者が彼ら有名人の名前を騙り、偽の、そして悪意のあるリンクを配信しているということで す。 スパム発信者は次のような件名で、ユーザーにメッセージを開かせようとします。 メッセージの本文はシンプルで、次のように特定の有名人に関連したビデオをダウンロード するためのリンクがあります。 確認されたメッセージに含まれるURLは次のとおりです。 http://www.google.com/pagead/iclk?sa=3Dl&ai=3DRwGGv&num=3D96249&a=durl=http:// canotajetrilly.com/[REMOVED]/rdown.php?PNDcx”=id=3D これを調査した結果、実際のリンクは次のとおりでした。 http://canotajetrilly.com/[REMOVED]/rdown.php?PNDcx”=id=3D このリンクをクリックすると、トロイの木馬のダウンローダーである「mpg.exe」というフ ァイルがダウンロードされます。このダウンローダーにより、Trojan.Srizbiとして検出され るinst241.exeファイルがダウンロードされます。Trojan.Srizbiの機能にはいくつかのユニー クな特徴があります。Trojan.Srizbiドライバー(windbg48.sys)が持つ主な機能は、ルートキ ットを使って自分自身を隠すこと、スパムを送信することの2つです。しかし最もユニーク な点は、世に出回っている中で恐らく最初のフルカーネルマルウェアであるという点です。 このトロイの木馬は、一度インストールされると、ユーザーモードを一切使わずにスパム送 信を含めたすべての活動をカーネルモードで実行できる機能を持ちます。ルートキットコー ドは新しいものではありません。悪質なドライバーはローカルディスク上のファイルを隠す ために、自身を\FileSystem\Ntfsに添付し、これまでにあった他のルートキットと同様の手口 でレジストリキーを隠すためにSDTを書き換えます。また、このトロイの木馬は%System%\ Minidumpログファイルを削除しようとし、「wincom32.sys」や「ntio256.sys」などの競合 するルートキットをアンインストールする特殊なルーチンを含んでいます。 5 マンスリースパムレポート 2008 年 3 月 スパム発信者が国際婦人デーを祝福 ホリデーを餌に電子メールユーザーをおびき寄せ、製品やサービスを売りつけようとす るのはスパム発信者の常套手段です。先月は、スーパーボウル、バレンタインデー、大 統領の日に便乗した様々なイベントやホリデーに関するソーシャルエンジニアリングが 用いられました。そして3月8日の国際婦人デーは、スパム発信者が狙う最新の標的で す。 これまでと同様にスパム発信者はホリデー関連の一般的なキーワードやフレーズを件名 やURLに使用し、エンドユーザーがその電子メールメッセージをクリックするように仕向 けます。 バレンタインデー関連のスパムで用いられた件名の一部を次に挙げます。 • Subject: Make it a special Valentine’s Day • Subject: Happy Comming Valentines • Subject: Muaah, Valentines Day • Subject: Hearts for you, Valentines • Subject: Kisses for Valentines • Subject: The Love, Valentines Day 6 マンスリースパムレポート 2008 年 3 月 サウスウエスト航空のチケットを使って受信者を誘惑 するスパム ブランド乗っ取りの常套手段を使い、最近のスパム発信者はサウスウエスト航空の2枚組 みのチケットを無料で提供するという電子メールを送信しています。そのチケットを手 に入れるには、受信者は自分の個人情報を入力して調査に協力しなくてはならず、場合 によってはスパム発信者から何かを購入しなければならないときもあります。このスパ ムメールの目的は、受信者から個人情報を集めることです。ここで用いられている手口 は、これまでに何度も確認されたものです。 7 マンスリースパムレポート 2008 年 3 月 注目スパム: アジア太平洋地域(APJ)のスパムトレンド アジア太平洋地域(APJ)におけるスパムのカテゴリ別内訳(90 日間) 金融 7% フィッシング 2% アダルト 4% 詐欺 15% 医療 38% 各種製品 15% 娯楽 6% インターネット 13% 先月のアジア太平洋地域(APJ)におけるスパムの動向から、いくつかの興味深いトレン ドが明らかになりました。 •医薬品、治療法、ハーブ療法などの医療スパムは、アジア太平洋地域(APJ)における 全スパムの38%を占めています。これは、最後に記録が行われた2007年11月から30% も上昇しています。世界全体では医療スパムの割合が全電子メールの12%しかないこと と比較すると、これは対照的です。 •アジア太平洋地域(APJ)におけるインターネットスパムと各種製品スパムの割合も、 世界全体の数値とは大きく異なります。インターネットスパムは世界の23%に対してア ジア太平洋地域(APJ)は13%、各種製品スパムは世界の26%に対してアジア太平洋地 域(APJ)では15%でした。 • 金融スパムは2007年11月から26%近く減少して、現在は7%です。 8 マンスリースパムレポート 2008 年 3 月 スパムの猛吹雪が中国を直撃 旧正月に中国を襲った猛吹雪は多くの人に甚大な被害をもたらし、公共の輸送機関にも 深刻な影響を与えました。危機的状況に便乗しようと常に考えているスパム発信者は、 この状況から利益を得る方法を見つけました。最近確認された中国語のスパムメッセー ジは、運送業者が配信しているように見せかけるスパムメールでした。このメッセージ では、吹雪の影響で荷物を届けることができなかったと通知されます。荷物を届けるた めには、メール受信者がリンクをクリックして荷物の配送状況を再度確認しなくてはな りません。このリンクをクリックしたユーザーは、各種製品の購入を促し、個人情報の 提供を求める個人ブログに連れて行かれます。中国の諺にあるように「用心こそが安全 の誓い」なのです。 9 マンスリースパムレポート 2008 年 3 月 中国の芸能スキャンダルはスパム発信者の夢 香港に拠点を置く映画スターでアイドルのエディソン・チャン氏は最近、ショッキング な芸能スキャンダルに巻き込まれました。何人もの女優と彼が映っているプライベート 写真やヌード写真を保存していたノートパソコンが盗まれ、インターネット上にアップ ロードされたのです。彼の置かれた状況は中国のスパム発信者たちの標的となりまし た。彼らはポルノスパムにエディソン・チャン氏の名前を使うことが製品の販売促進に 役立つと考えたのです。 サンプルのスパムの件名には次のようなものがあります。 スパム発信者は、ユーザーの注意を惹きつけ、彼らが提供する「製品」を利用してもら うには何が最も効果的で効率的かを常に探しています。エディソン・チャン氏の芸能ス キャンダルの波に乗り、スパム発信者は古典的な手口を再利用することを思いついたの です。 Pump and Dump(不当に株価を引き上げるスパム)の中国語版 英語版のPump and Dumpスパムは、注目すべきスパムとしてこれまでにも何度か取り上 げられました。スパム発信者がこの戦略の潜在能力に目を向けるにつれて、この種のス パムの中国語版が急増し始めました。 英語版と中国語版には大きな違いが1つあります。この種のスパム攻撃の英語版は「個 人」に対して株の購入を勧めるのに対し、中国語版は多くの人に呼びかけて「集団」を 形成してから、お金を集めて一緒に株を購入しようとします。 旧正月を迎えた中国を祝うために、この種のイベントに関連する次のような件名が最近 は著しく増加しました。 中国語の株スパムメッセージのほとんどには、QQグループ番号が含まれています。QQと はインスタントメッセージングの形式です。これはスパム発信者がよく用いる手口の1つ で、ユーザーを自分たちのグループに引き入れて株式市場を混乱させ、株取引の初心者 を騙そうとするものです。 上記の文章は次のような意味です。 長い間連絡していませんでしたが、お持ちの株の調子はいかがですか? この前、すごいブログを発見しました。 彼は非常に優良な株を勧めてくれます。ここに彼のQQ番号を記載しておきます。 10 マンスリースパムレポート 2008 年 3 月 スパム発信者たちの不名誉の殿堂 何年もの間、シマンテックは極端なスパムから全くおかしなスパムまでのあらゆるスパ ムを確認してきました。今月確認されたスパムは、時にはユーモラスで時には全く意味 不明であるという一連のユニークなスパムに続くもので、ユーザーを騙そうとするスパ ム発信者が用いたおかしな手口です。このため、私たちはこれを「スパム発信者たちの 不名誉の殿堂」と呼ぶことにします。 住宅ローンに埋もれないために墓地を売ろう 経済状況が停滞しているここ数ヶ月の間は「手遅れになる前に家計を立て直しましょ う」「かつてないほどの低金利でお金を借りましょう」「これで住宅ローンを完済でき ます」とユーザーに呼びかけるスパムメッセージが大量に確認されました。金融スパム は依然として送信され続けていますが、スパム発信者は販売ポートフォリオを多様化 し、墓地の売買にまで手を広げています。お墓にではなく住宅ローンに埋もれないよう にしようということでしょうか。メッセージには「1978年の米国内における墓地の平均 価格は200ドルであったが、2008年には4500ドルにまで跳ね上がった」とあります。そ して広告主はこう言います-「明日では手遅れです。今日始めましょう」 11