Video Screencast Help
Security Response

バレンタインデーを前に攻撃を仕掛けていたスパムボット

Created: 04 Mar 2011 12:32:01 GMT • Translations available: English
Suyog Sainkar's picture
0 0 Votes
Login to vote

スパマーは、さまざまな不明瞭化テクニックを使用してスパム対策フィルタを回避しようとします。シマンテックでは、URL の文字と文字の間にスペースを入れてメッセージ本文に含める手法を用いていた、最近の出会い系スパム攻撃について追跡調査を行いました。このような不明瞭化テクニックは以前から頻繁に利用されていましたが、最近ではあまり見られません。このスパム攻撃は、2011 年 1 月の最終週から 2 月第 1 週にかけて活動が確認され、観測されたスパムメッセージは、12,000 通ほどでした。

このスパム攻撃では、URL の不明瞭化だけでなく、件名およびメッセージ本文がランダムに変更されています。

この攻撃で確認された件名には以下のものがあります。

件名: Svetlana Martyushova appeared in the chat(Svetlana Martyushova がチャットに参加しました)

件名: Tatyana Zhivkova - waiting on you(Tatyana Zhivkova が待機中です)

件名: Kazak Avrora thinks about you(Kazak Avrora からご指名です)

件名: Alina Lebedkova wants to see you(Alina Lebedkova が会いたいと言っています)

件名: Dobrolyubova Liudmila appeared online(Dobrolyubova Liudmila がオンラインになりました)

件名: Nataliya Kostyuka wants you to come(Nataliya Kostyuka があなたの参加を待っています)

件名: Alesja Durchenko appeared in a video chat(Alesja Durchenko がビデオチャットに参加しました)

この攻撃で確認された URL には以下のものがあります。

hxxp://kleopatraoefi.blog spot.com

hxxp://barkovaeminevy.blog spot.com

hxxp://fin pr ep online.com

hxxp://backfin group. com

hxxp://back fing roup.com

hxxp://egorichevkiripo.blogspot.com

hxxp://finp reponline.com

hxxp://bluef   inkids.com

hxxp://finpr eponline.com

hxxp://kleopatraoefi.blog spot.com

hxxp://fi nprep    online.c om

hxxp://barkovaeminevy.blog spot.com

hxxp://backfin group.com

いくつかの URL で使用されているドメインは、米国で昨年 8 月の同日に同一人物によって登録されています。この攻撃で使われている URL を見ればわかるように、Web ページをリダイレクトするために blogspot.com も使用されています。

電子メールには、ユーザーが出会い系 Web サイトに登録済みであるかのように書かれており、申込フォームやロシア人女性へのアンケートのリンクと称して、スペースを入れて加工された URL が含まれています。ただし、このリンクの大部分は、最終的に、Anastasia のアフィリエイトプログラムに関連するロシアの出会い系 Web サイト roma.animoney.net にリダイレクトされます。さらに、当然ながら、このロシアの出会い系サイトにリダイレクトされるのは、リンクから文字と文字の間のスペースを削除して、Web ブラウザでそのリンクを開いた場合に限られます。スパマーは、このようなスパムメールを利用することにより、その電子メールを送信したロシア女性との会話やデートに興味を持ちそうなユーザーの好奇心を掻き立てようとします。上記のいずれのリンクも、現在では接続できません。

これらのメッセージの送信元が地理的に離れた複数の場所にあることを考えると、ボットネット攻撃である可能性が高いと思われます。具体的な複数の送信元 IP のコンピュータをさらに調査したところ、それらは実際に感染しており、複数のボットネットに組み込まれていました。このスパム攻撃で利用された IP の一部は Cutwail ボットネットに組み込まれていることがわかりましたが、Lethic ボットネットに感染した痕跡のある IP もこの攻撃に加わっていました。

この記事で使用したスパムのサンプルを提供してくれた Paresh Joshi 氏に感謝します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。