McColo の突然の閉鎖は、その後 5 か月にわたってスパムの動向に波紋を与える原因となり ました。 現在までスパムの量の水準は閉鎖前にシマンテックで測定した値に戻っていません。 ただし、11月の閉鎖からそろそろ半年を迎えようという今、スパムの量は徐々に回復し、現在 では McColo の閉鎖前の水準の 91% にまで達しています。 2009 年 4 月のレポートのハイライト • McColo の閉鎖が 3 月中も引き続きスパムの動向に影響 • スパマー、住宅ローン戦略を見直し • Conficker を偽のウイルス対策ソフトウェアの販売に利用 • 税務申告終了日までの秒読みが続く ‐ 「スパムによる出費」などは申告しないこと • 「自分のことに気をつけて!」 というテロ関連のマルウェアスパムを避ける • 指標ダイジェスト 第 28 号 2009 年 4 月 スパムの割合: スパムの量の割合の計算に使用されているモデルでは、SMTP 層のフィルタ に加えてネットワーク層でのスパムのブロックも考慮しています。この結果、インターネットの スパムの割合のより正確な予測が可能です。 Doug Bowers 編集責任者 スパム対策エンジニアリング Dermot Harnett 編集者 スパム対策エンジニアリング Cory Edwards 広報担当 [email protected]
2008 年 11 月のホスティング会社 McColo の 閉鎖以来、スパムの量はゆっくりと「通常」の 量に戻りつつあります。古いボットネットが再 びオンライン上に出現し始め、新しいボット ネットも次々に作成されています。スパムの 量は現在、McColo の閉鎖前の水準の 91% に達しています。 ゾンビとは、乗っ取られた PC のことで、スパ ムの送信、スパムを宣伝する Web サイトの ホスティング、ゾンビホストのための DNS サーバーとしての役割など、さまざまな犯罪 目的に使用されるコンピュータを指す用語で す。 2009 年 3 月にゾンビマシンのホスティングが 確認された上位 10 か国について、2008 年 10 月のスパムレポートで報告された 2008 年 9 月の検出結果との比較を以下の表で示し ます。 2008 年 9月と同様、EMEA(欧州、中東、アフ リカ)諸国は引き続きゾンビ PC の IP アドレス の主な発信源であり、活動中のゾンビコン ピュータの 45% をホストしています。EMEA 諸 国のなかではロシアが現在最上位であり、2 位のトルコに 1% の差をつけています。 トル コで活動するゾンビ PC の数は半減していま す。ゾンビマシンのホスト地域としては EMEA 諸国が突出していますが、ブラジルは 5% 増 加して 14% に達し、ゾンビマシンの No.1 ホス ト国というありがたくない名誉を手にしていま す。ブラジル、インド、中国などの中産層が急 成長している国では、インターネットや IT イン フラへの投資が活発であり、活動中のゾンビ マシンの分布は今後も変動し続けるものと見 られます。 McColo の閉鎖が 3 月中も引き続きスパムの動向に影響
低迷する住宅市場の影響を受けて気分
がふさいでいますか。クレジットカードデフ
ォルトスワップ (CDS) ということばを聞くと
ぞっとしますか。こうしたときこそスパマー
の狙い目であり、手を差し伸べてくるので
す。年初め以来、スパマーは、不本意な
がら耳慣れたことばになった住宅ローン
産業の用語を絶えずスパムの宣伝に悪
用しています。検知された用語には次の
ようなものがあります。担保権の行使、住
宅差し押さえ(フォアクロージャー)、金
利、抵当、そしてお遊びも入るためかフォ
アクロージャー(foreclosure)のスペルミス
(Forclosure)というものまで見られます。
これらの用語から、以下の 2 つのことが
明らかだと言えます。1 つには、通常の手
口と同じく、市場へ売り込むために景気の
低迷など流行の時事用語を取り入れてい
ることです。こうした用語の使用は、金銭
や個人情報の窃盗を目的とした機能増強
スパムやフィッシングスパムで増えていま
す。
2 つ目は、ある種のタイプのスパムに変
化が見られることです。たとえば従来の
MMF(Make Money Fast)スパムは、抵当
流れの物件を利用した儲け話を持ちかけ
る画策でした。最近のスパムメッセージ
は、差し押さえの回避を約束するものが
多くなっています。
住宅ローンに関する上位 20 の件名
1. re: mortgage payment (抵当支払) 2. mortgage loan information (担保付き住宅ローン 情報) 3. a big instrument is a mortgage to success. (大きな 手形は成功の担保) 4. search foreclosure listings by zipcode for free... nationwide! (郵便番号で全国の住宅差し押さえの リストを検索) 5. record foreclosure filings: homes given away!(住 宅差し押さえのファイルを記録:手放された住宅) 6. in fear of foreclosure(差し押さえのおそれ) 7. hey mom, this can pay your mortgage (ねえ、マ マ、これでローンが払えるかもしれないよ) 8. don't go into foreclosure (差し押さえを防げ) 9. facing foreclosure? (差し押さえの問題に直面して いますか) 10. had a hardship and facing foreclosure? (不況で差 し押さえの危機に直面していますか) 11. don't let your lender foreclose (大家の差し押さえ を防げ) 12. home‐mortgage‐mess: your 30 second bailout(住 宅ローンの混乱:30秒であなたを救済) 13. don't let them foreclose (差し押さえを許すな) 14. fight foreclosure(差し押さえと戦おう) 15. save your house from foreclosure today(今日こ そ、差し押さえから我が家を守ろう) 16. ;search foreclosure listings by zipcode for free... nationwide! (;郵便番号で全国の住宅差し押さえ のリストを検索) 17. lower your mortgage. popular ontv. (今テレビで話 題、ローンを低金利で。) 18. get a free book from robert allen... the foreclosure guru.(差し押さえの達人、ロバート・アレンの著作 を無料でゲット) 19. find out if a reverse mortgage is right for you(逆住 宅ローンがあなたに向いているかどうかを探る) 20. mortgage modification may be available to you ‐ avoid foreclosure! (住宅ローンの救済プランがご 利用になれます。差し押さえを防ごう!)
スパマー、住宅ローン戦略を見直し
米国在住で、まだ確定申告がお済みでない 方は、以下の文を一読されることをお勧めし ます。米国の「Tax Day (税務申告終了日)」で ある 4 月 15 日を目前にし、米国国税庁(IRS) は連日、確定申告に役立つ情報を発表して います。 米国の税務申告終了日に対する準備期間は これまで IRS についてのフィッシング詐欺が 盛んになる時期となっていました。前回のシ マンテックマンスリースパムレポートで報告さ れているように、スパマーは IRS を装い、疑い を抱かぬユーザーに税金還付の話を持ちか けます。 こうした提案は、IRS が「納税者と電子メール でやりとりを行うことはありません」と明記して いることに気付かない受信者をターゲットにし ています。この攻撃は、誕生日やデビット/ク レジットカード情報などの個人情報の収集を 目的とする場合が多々あります。ただし、この 種の税金関連のスパム攻撃は米国内に限ら れた話ではなく、スパマーは世界各地で徴税 当局を装っています。最近では、アイルランド の徴税当局がターゲットになりました。 IRS を始めとする徴税当局を装う手口に加 え、ユーザーの受信ボックスに侵入する手段 として、スパマーが確定申告関連費用の節約 方法を提供していることをシマンテックでは近 頃検知しました。この方法で受信者から個人 情報を盗み取ろうというわけです。 以下は、2009 年 2 月 1 日から 3 月 23 日ま でのスパムメッセージに使用された税金関連 の件名上位 20 件を順に並べたものです。 1. rebate processor position ‐ we need your help now (リベート処理職募集 - あなたの力を貸してください。) 2. we could help you settle irs debt now (税金滞納の 解決のお手伝いをします) 3. don't you want something for your taxes (あなたの 税金について何かご入用ではありませんか) 4. re: do you owe tax debt? read on (re: 税金を滞納? ぜひこちらをお読みください) 5. a rebate processor position offers you the chance to work at home (ご自宅でできるリベート処理のお仕 事のチャンス) 6. rebate processor position ‐ easy work ‐ great pay (リベート処理のお仕事です。かんたんで高収入) 7. don't you want something for your taxes (あなたの 税金について何かご入用ではありませんか) 8. rebate processing jobs at home. immediate place‐ ment (急募!ご家庭でできるリベート処理のお仕事) 9. re: need help with irs back taxes? (re: 国税庁の追徴 課税についてお困りですか) 10. fast & accurate tax refund (スピーディーかつ正確な 還付金) 11. 97% of all applicants can be helped with irs back tax (追徴課税についてご相談いただいた方の 97% の 方々のお役に立っています) 12. warranty and refund policies and wonderful dis‐ counts are available. (保証と返金の条件付き、さらに 高割引が得られます。) 13. re: do you owe back taxes? we could help (税金滞 納? わたしたちがお手伝いします) 14. $389 desktop, $499 laptop. amazing tax season 2‐ day sale. (デスクトップ $389、ノートブック $499、納税 期間の二日間限定セール) 15. need irs tax relief?.. (税金控除をお求めですか) 16. no more tax increases (増税反対) 17. get expert tax advice with your irs issues ‐ no cost consultation (専門家から納税のアドバイスをもらお う。相談料無料) 18. at home rebate‐processor positions paying $390+ daily (ご家庭でできるリベート処理のお仕事。$390 + 毎 日) 19. back taxes got you worried? (追徴税にお悩みです か) 20. back taxes got you worried?... (追徴税にお悩みです か...) 税務申告終了日までの秒読みが続く ‐ 「スパムによる出費」などは申告しないこと
4 月 1 日のエイプリルフールは、Conficker ワームの拡大が予測されており、大きな脅威 になる恐れがあると指摘されていました。シ マンテックでは、Conficker (別名 Downadup) をめぐる混乱に付け込んだスパムの例をいく つか検知しました。これらは、Conficker の脅 威からユーザーを守るという触れ込みで、最 新のウイルス対策セキュリティソフトウェアを 売り込もうとするものでした。これらのスパム メッセージのなかには、シマンテックのノート ン アンチウイルス 2009 に酷似した名称とイ メージを使ったものもありました。以下の例で は、たびたび報道に登場するシマンテックの 社員の名まで使われています。
金銭的な利益を目的としたこの製品の Web サイトは、シマンテックのコンシューマ向けセ キュリティソリューションのサイトに類似してお り、アンチウイルス 2009 の名称を使い、ま た、Spybot、Kaspersky、AVG などのウイルス 対策ソリューションとの比較を掲載していま す。メッセージ内のリンクをクリックすると、支 払い方法が記載された Web サイトに誘導さ れることが確認されています。支払い後にな んらかの製品が入手できるのかどうかは、現 時点では不明です。本当にその製品が入手 できたとしても、恐らく不正なアプリケーション あるいは海賊版であると見られ、その効果の ほどは疑問です。
Conficker を偽のウイルス対策ソフトウェアの販売に利用
「Take care about yourself! (自分のことに気 をつけて!)」という不気味な件名が与える不 安と多少の好奇心から、セキュリティに及ぼ す結果を考えずに、マルウェアにリンクしてい る URL をクリックしてしまう受信者がいます。 この最近の例では、地理位置情報サービス を使って受信者がターゲットにされました。 メッセージの受信者の相対的な位置によっ て、テロリストの攻撃する場所は異なります。
