皆さんもご存知のように、米国の独立記念日はわずか数日後の 7 月 4 日です。独立記念日には、よく花火、パレード、バーベキュー、展示会、式典、パーティ、国民の休日を祝う他のさまざまな公開イベントや私的なイベントが行われます。この時間を休暇の旅行に利用する人たちもたくさんいます。特に、7 月 4 日が週末と重なる場合はそうです。しかし、すべての人が他の町に出かけたり、特別なイベントに参加したりするわけではありません。連休を家庭で過ごしたり、ショッピングなど、他の活動の機会を取り戻すために利用する人々も実際にいます。店舗やオンラインショッピングサイトでは、通常祝日が週末と重なると販売量が落ち込むため、わくわくするような特別セールを実施することがよくあります。いずれにしても、今日の技術では、たとえ休暇でビーチにいたとしても、どこからでもオンラインでショッピングすることが可能になっています。 いつものように、スパマーたちはこれを見込んで悪用しようとしており、高級品の模造品、薬品、および他の製品を宣伝するスパムメッセージを配布しています。7 月 4 日の独立記念日に関連する最近のスパム活動で見られた差出人や件名のサンプルをいくつか次に示します。 差出人: Rolex.com <abc@xyz.com> 差出人: "July 4th Sale " <july4thsale@sonicboomdeals.com> 差出人: "Earle Luaces" <abc@xyz.com> 件名: abc@xyz.com Rolex.com For You -71%(Rolex.com よりお客様だけに 71% オフ) 件名: All Natural Male Enhancement Medicine Is Your Best Choice obdurate desecrate(精力減退の特効薬、男性の機能を強化する「All Natural Male Enhancement Medicine」) 上のスクリーンショットは、高級品の模造品を売り込むスパム活動のメッセージを示しています。画像かいずれかの URL リンクをクリックすると、さまざまな模造品を販売する Web ページにリダイレクトされます。そのページでは、独立記念日の特別なセールについても特集されています(下のスクリーンショット)。ある程度予想できるように、スパム電子メールに記載されている「Unsubscribe(購読解除)」リンクをクリックしても、同じ Web ページ(hxxp://xxx.rolex.com.<削除済み>fork.com/secure.php?cmd=home)にリダイレクトされます。 これらの Web ページは、スパマーが所有している可能性の高いドメイン(2011 年 6 月 24 日に作成されたばかり)でホストされています。このようなドメインの多くは、ロシアで登録されたものであることが判明しています。
医薬品を宣伝するスパム電子メールメッセージには、多くの場合ランダムに生成されたテキストと URL リンクが含まれています。これらのスパムメッセージの URL は、短縮 URL サービスを使って作成されています。その URL をクリックすると、7 月 4 日の週末向けに信じられないような値引き(ほとんどの場合デタラメです)をしている医薬品を宣伝する Web ページにリダイレクトされます。 上のスパム活動に関与している IP アドレスをさかのぼると、ブラジルとアルゼンチンにたどり着きました。これらの IP の背後にあるコンピュータは、スパム送信用のトロイの木馬に感染し、ボットネットの一部になっているものと思われます。これらの IP アドレスは、このようなスパム活動に過去に関与していたため既にブラックリストに登録されています。 別のスパム活動では、人気のガジェットやアウトドアグリル製品の値引きを宣伝するスパム電子メールも発見されています。このスパム活動のメッセージのサンプルスクリーンショットを次に示します。多くの人が、来る 7 月 4 日の週末にそのグリルに点火して料理の腕をふるいたいと思っていますが、残念ながらこれらのスパムメッセージは、提供できると主張しているものを提供してはくれません。 電子メール内の URL リンクは、スパマーが所有するドメイン「sonicboomdeals.com」から構成されています。このドメインは、2011 年 6 月 29 日に作成されたばかりであり、米国で登録されています。前述のスパム活動とは異なり、感染したボットネットコンピュータはこの製品スパムの送信を担当していませんが、「snowshoe(かんじき)」や「hit-and-run(一撃離脱)」スパミングなどと呼ばれる技法を使って送信されています。 スパム電子メールメッセージに対応するための基本的なヒントをいくつか示します。 1. 明らかなスパム電子メールメッセージは絶対に開かず、そのまま削除してください。 2. 許可なく送られてきたメールメッセージの画像やリンクは絶対にクリックしないでください。メッセージが正規のものであることを確認し、メッセージの送信者がだれであるかを十分に認識するようにしてください。 3. 不明な送信者または信頼できない送信者から届いた電子メールメッセージの「Unsubcribe(購読解除)」リンクはクリックしないでください。クリックすると、あなたに関するもっと多くの情報をスパマーに与え、その電子メールアドレスが有効なものであり、使用中であることを明確にしてしまいます(スパマーからさらに多くのスパムが送られてきます)。
-------------------------------
備考: このブログのためにスパムサンプルを提供してくれた Saurabh Farkade 氏と Vivek Krishnamurthi 氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。