シマンテックは、8 月の中頃から、URL 中にファイル拡張子を含んだリンクが設定されているスパムのサンプルを確認しています。このリンクをクリックしてもファイルは開かず、ユーザーはオンラインの医薬品販売サイトにリダイレクトされます。URL に使われている拡張子は、以下のとおりです。
また、シマンテックが確認したスパムサンプルで使われていた URL は以下のとおりです。
スパムメールの例を以下に示します。
リダイレクト先のリンクは、次のようなオンラインの医薬品販売サイトです。
ドメインはロシアで登録されたもので、サーバーの所在地は香港とウクライナでした。この種の攻撃は RSS ニュースフィードスパム攻撃とも呼ばれますが、スパマーは攻撃を実行するために、スパムメールでニュースフィードを利用しています。シマンテックは以前にも、ブログ記事でこのタイプの攻撃について報告しています。上に挙げたスパムサンプルでは、最近亡くなった元宇宙飛行士ニール・アームストロング氏が最新ニュースとして利用されています。
こうした特定のファイル拡張子を使う意図は、コンテンツフィルタをすり抜けることであると考えられます。コンテンツフィルタが検知する拡張子は、これらとは別だからです。また、リンクをクリックすれば関連付けられているファイルが開くという、ユーザーの常識が利用されているという面もあります。シマンテックのスパム対策技術を使えばこのような手口も識別され、煩わしいスパムメールからも保護されます。オンライン詐欺の疑いのあるメールから身を守るために、セキュリティソフトウェアを最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。