Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

サイバー犯罪者、英国王室のご成婚を悪用する態勢整う

Created: 28 Apr 2011 10:59:46 GMT • Translations available: English
Suyog Sainkar's picture
0 0 Votes
Login to vote

これまでも大きなイベントがあるたびに確認されたように、サイバー犯罪者は現在、英国王室のご成婚に関するニュースを利用して、スパム活動を強化し、ブラックハット SEO(検索エンジン最適化)技術を通じて偽のウイルス対策ソフトウェアを拡散しようとしています。
 

スパム活動

ウィリアム王子とケイト・ミドルトンさんのご成婚を狙った「かんじきスパム」については以前のブログ記事で取り上げました。ダイアナ妃の婚約指輪の模造品を宣伝する電子メールが見つかったのは 2 月のことでしたが、それが今もインターネット上に出回ったまま、いよいよご成婚の前日を迎えることになりました。また、私たちが予測したとおり、この一大イベントを利用してさまざまな製品を売り込もうとするスパム活動も、最近新たに確認されています。

そうした最近のスパム攻撃のひとつとして確認されているのが、「limited edition Buckingham Mint Royal Wedding Commemorative Coin(Buckingham Mint 限定版ご成婚記念硬貨)」を割引価格で販売すると称するメールです。


 
この例のスパム攻撃で使われている IP アドレスは、英国に本拠地を置くメールマーケティング会社が所有しているドメインのものです。メール本文に記載されたリンクは、lpmtrk.info というドメイン(作成日は 2011 年 1 月 14 日)にリダイレクトされてから、最終的なサイトにリダイレクトされます。このドメインは、身元を隠したまま詐欺行為に利用できるように、ドメインプライバシーサービスを利用して登録されていました。

別のスパム攻撃では、限定版オリジナルマグカップと T シャツを、やはり割引価格で販売すると宣伝されています。
 

 

この 2 つを含む関連スパム攻撃で確認されている「差出人」と「件名」の例を、以下に示します。

差出人: Sovenir(記念品)<souvenir@yahveh.permissionalert.com>
差出人: Sovenir(記念品)souvenir@ardent.informationfoot.com
差出人: "Timeless Royal Ring"(ご成婚の記念を永遠に)<royalring@yinstenarm.com>
差出人: "British Heirloom Ring"(王室相伝の指輪)<royalring@yinstenarm.com>

件名: Get a limited-edition royal wedding mug now(限定版ご成婚記念マグカップを手に入れよう)
件名: Get A Limited Edition Royal Wedding T-Shirt Now(限定版ご成婚記念 T シャツを手に入れよう)
件名: Share in the most anticipated wedding of the century(今世紀最も待望されたご成婚をともに祝福)
件名: A Beautiful Simulated Sapphire Ring(美しく再現されたサファイアの指輪)

上記のメールアドレスにはスパマーが所有しているドメインが使われていますが、日付は新しく、スパム活動の目的で作成されたものと考えられます。このメールアドレスで使われている 2 つのドメインは、2011 年 4 月 7 日の日付で同じ登録者によって登録されていました。スパムメールに記載されたリンクからは、まずメールアドレスに使われているドメインにリダイレクトされ、次に実際のスパム Web サイトにリダイレクトされます。登録解除希望のリンク(上記のスクリーンショットにはありません)も用意されていますが、おそらくは偽物です。

上記のスパムメッセージに使われている IP アドレスをたどると、発信元は米国でした。これらの IP アドレスは、過去にスパム攻撃に使われたためブラックリストに登録されています。このアドレスからのスパムメール攻撃は、Symantec Brightmail のフィルタ機能で遮断されますので、ご安心ください。
 

ブラックハット SEO(ハッカーによる SEO

結婚式の当日まであと 1 日となった今、ご成婚に関連する検索が Web 上では急増しています。ご成婚関連のニュースを調べようとするユーザーを誘い込むために、ブラックハット SEO 技術が偽造ページで使われています。

ある時点では、「william and kate movie imdb」(ウィリアム ケイト 映画 IMDb)という検索キーワードで検索すると、上位 100 件の検索結果のうち 61 件が悪質なリンクでした。検索キーワードを「princess diana death photos」(ダイアナ妃 死 写真)とした場合には上位 100 件のうち 58 件、「royal wedding guest list kanye」(ご成婚 招待客 リスト カニエ)とした場合には上位 100 件のうち 45 件が悪質なサイトにリンクしています。

「royal wedding gown sketches」(ご成婚 衣装 スケッチ)というキーワードで検索した結果のスクリーンショットを以下に示します。Norton セーフウェブによって、8 つのリンクのうち 6 つが悪質なサイトであることが示されています。


 
こうした悪質なページのいくつかは検索エンジンのランキング上位を占め、検索結果の 1 ページ目に表示されます。次のスクリーンショットを見ると、「Royal wedding time」(ご成婚の日)というキーワードの検索結果で、悪質な URL が最初のリンク(ニュースリンクの直後)として表示されています。

Norton セーフウェブ(safeweb.norton.com)では、赤または黄色と判定されたサイトの詳しい脅威レポートが公開されています。

現時点で、悪質なリンクが返される検索キーワードをいくつか挙げておきます。

•    william and kate movie cast(ウィリアム ケイト 映画 キャスト)
•    prince charles age(チャールズ皇太子 年齢)
•    princess diana death facts(ダイアナ妃 死 真実)
•    prince harry last name(ハリー王子 姓)
•    william and kate movie on lifetime(ウィリアム ケイト 映画 生涯)
•    royal wedding guest list bush(ご成婚 招待客 リスト ブッシュ)
•    royal wedding guest list snubs(ご成婚 招待客 リスト 冷遇)
•    prince charles siblings(チャールズ皇太子 兄弟)
•    the royal wedding date and time(ご成婚 日時)

シマンテックでは、過去数日間に 500 以上のサイトが危殆化し、この攻撃に使われたことを確認しています。攻撃者は各サイトに複数の偽造ページを作成し、キーワードスタッフィング、クローキング、リンクファーミングなどの不正な SEO 技術を使って検索エンジンのアルゴリズムを欺き、上位のランキングを獲得します。

ここで使われている悪質なリンクは、おおむね次のようなパターンになっています。

hxxp://<ドメイン名>/<ランダムな 2 文字の文字列>-<検索キーワード>

悪質なリンクのほとんどは co.cc ドメインにリダイレクトされ(307 Temporary Redirect)、このドメインが偽のウイルス対策ソフトウェアのホストになっています。これまでのところ、この攻撃では 11 種類の co.cc ドメインが使われていることが判明しています。

次のスクリーンショットは、一般的な偽のスキャンとウイルス対策が動作しているところです。重大なエラーや脅威が大量に見つかったとしてコンピュータから除去するように促しています。

インターネットで情報を検索するときは、正規のウイルス対策ソフトウェアが最新であることを確認し、ウイルス対策と称したソフトウェアのダウンロードを求める詐欺ページに注意してください。

シマンテックの多層型の保護テクノロジを使えば、このような攻撃にはすべて対処できます。Norton セーフウェブのツールバーは、悪質な検索結果を判定し遮断します。

 

Norton のアンケート結果

シマンテックの Norton チームは最近、ご成婚に関するアンケート調査を実施しました。アンケート結果は 2011 年 4 月 18 日に発表されましたが、次に示すように興味深い事実がある一方、驚くべき結果も明らかになりました。

* 回答した米国のユーザーのうち、62% が英国王室のご成婚の話題を追っていく可能性がある。

* 回答者の 87% が、3 月 25 日の時点でご成婚に関するニュースをすでに追っていた。

* さらに、回答者の 3 分の 1 はご成婚のニュースをオンラインで確認しているため、オンライン詐欺などの脅威の影響を受けやすくなっている。

* 回答者の 4 分の 1 が、ご成婚に注目しているのは、主に英国王室らしい雰囲気の豪華な式典を楽しみたいからと回答している。

* ほぼ 4 人に 1 人が、ご成婚の話題を追っている最大の理由は、派手な装飾、食事、衣装などを見たいからと回答している。

ご成婚 2.0 - オンラインで見る史上初のご成婚

* 回答者全体では、40% 近くがご成婚に関する情報をオンラインで探している。

* 18 歳から 34 歳の層では、67% がご成婚に関する情報をオンラインで探している。
            
* 18 歳から 24 歳の層では、87% がご成婚に関する情報をオンラインで探している。

* 回答者の 4 分の 1 以上が、結婚式をデスクトップ、ノートブック、モバイルデバイスで、生中継または録画で視聴する予定である。

* 回答者の 53% が、ご成婚に関する感想をオンライン(ソーシャルネットワーク、ミニブログ、ブログなど)で共有する可能性がある。

サイバー犯罪者による「ご成婚荒らし」を知らず、無防備

* 18 歳から 34 歳の層では、デスクトップやノートブックにセキュリティソフトウェアをインストールしていない(またはインストールしているかどうか不明)という回答が 45 歳以上の層と比較して 2 倍以上に達する。

* 18 歳から 24 歳の層では 87% が、オンラインでご成婚に関する情報を探しているが、驚いたことに、SEO ポイズニングの意味も影響も知らない割合が同数に及ぶ。

---------------------------------------

備考: このブログの調査と執筆は、シマンテックの Suyog SainkarNithya RamanHelen Malani の各氏によるものです。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。