Video Screencast Help
Security Response

一撃離脱スパムの増加

Created: 21 Mar 2012 07:39:29 GMT • Translations available: English
Eric Park's picture
0 0 Votes
Login to vote

過去 2 週間に、一撃離脱タイプのスパム攻撃(かんじきスパムとも呼ばれます)が増加していることをシマンテックの Global Intelligence Network が確認しました。一撃離脱タイプのメッセージには、以下のような特徴があります。

  • 通常は中立的な評価の IP アドレス範囲から発している。
  • IP アドレス 1 件あたりから送信されるスパムの数を少なくするために、広い IP 範囲が利用される。
  • 特徴(件名、送信元、URL など)が頻繁に変わる。
  • URL はコールトゥアクションである。
  • 1 回のスパム攻撃で大量の「使い捨て」ドメインを利用することが多い。

先週 1 週間に、このようなスパムで宣伝された商品やサービスの上位 3 種の内訳を以下に示します。

日付

スパム広告第 1

スパム広告第 2

スパム広告第 3

3/11

ソーラーパネル

発毛剤

自動車保険

3/12

発毛剤

こげつかないフライパン

ホームセキュリティシステム

3/13

発毛剤

メイドサービス

自動車保険

3/14

発毛剤

メイドサービス

自動車保険

3/15

メイドサービス

ペット用医薬品

庭の改修築

3/16

こげつかないフライパン

ペット用医薬品

クリーニング商品

3/17

自動車在庫一掃セール

借り換えローン

クレジットカード

3/18

生命保険

自動車保証

インクカートリッジ

上記のほか、以下のような製品やサービスを広告する一撃離脱メッセージも出現しました。

  • 自動車保証
  • 衛星テレビ
  • 外国語学習
  • フラワーギフト
  • 自動車ローン
  • 無料の信用調査
  • 出会い系サービス
  • 在宅ワーク
  • レーシック手術

スパマーは、似たような商品やサービスを売り込もうとするときでも、さまざまな件名を使います。たとえば、発毛剤を宣伝する件名では、次のような例があります。

件名: Finally a hair solution that works for Women(女性の髪の悩み、ついに解決)
件名: Attention Women: Get fuller hair risk free(女性必見、豊かな髪を安全に)
件名: See the latest trick for thinning hair(薄くなる髪に、最新の技術が登場)
件名: Try the newest solution to regrow hair.(安心の最新技術をお試しください。豊かな髪ふたたび)
件名: See how celebs get fuller thicker hair(セレブご用達、ふさふさ髪の秘密とは)
件名: Attention Women: See the latest trick to restore hair(女性も必見、髪がよみがえる最新の技術)

また、スパムメッセージが少しでも確実に配信されるように、ランダムな位置にハイフンを挿入する手口も知られています。ホームセキュリティを宣伝している件名の例を挙げます。

件名: [BRAND NAME REMOVED]De-aler $99 Install He-re to help Pro-tect You([ブランド名削除済み] 代理店による設置費用込み、99 ドルで家族を守ろう)
件名: [BRAND NAME REMOVED] monitored and Dea-ler installed([ブランド名削除済み] 代理店による監視と設置)
件名: [BRAND NAME REMOVED] De-aler Installed se-curity sy-stem $99([ブランド名削除済み] 代理店が設置するセキュリティシステムが 99 ドル)
件名: [BRAND NAME REMOVED] De-aler Fr-ee Sys-tem Of-fer([ブランド名削除済み] が設置費無料で大サービス)
件名: [BRAND NAME REMOVED] Home Security is #1- Fr-ee Security Sy-stem!([ブランド名削除済み] のホームセキュリティは No.1 の無料セキュリティシステム)
件名: [BRAND NAME REMOVED] is #1 This De-aler has a $99 Install([ブランド名削除済み] のナンバーワン代理店が 99 ドルで設置)
件名: [BRAND NAME REMOVED] monitored se-curity from Top De-aler $99 install([ブランド名削除済み] の監視付きセキュリティ、トップ代理店が 99 ドルで設置)
件名: [BRAND NAME REMOVED] can help pro-tect your home in 2012([ブランド名削除済み] が 2012 年のご家族の安心を約束)
件名: [BRAND NAME REMOVED] Auth De-aler $99 install with Fr-ee S-ystem([ブランド名削除済み] 正規代理店が 99 ドルで設置。システムは無料)
件名: [BRAND NAME REMOVED] De-aler $99 Of-fer Dont settle for le-ss([ブランド名削除済み] 代理店が 99 ドルで設置。どこよりも格安)

URL の存在だけでメッセージが一撃離脱タイプと決まるわけではありませんが、以下のグラフでは、URL を含むスパムメッセージの比率が過去 1 週間で増加していたことがわかります。

シマンテックでは、引き続きこの傾向を監視し、攻撃を絞り込むためのフィルタの作成を続ける予定です。また、企業や個人ユーザーの皆さまは、シマンテックインテリジェンスレポートに掲載されているベストプラクティスを実施するようお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。