Video Screencast Help
Security Response

特定の言語を使う「一撃離脱」攻撃が .eu ドメインで増加

Created: 24 Jul 2012 11:54:32 GMT • Translations available: English
Pavlo Prodanchuk's picture
0 0 Votes
Login to vote

最近シマンテックは、医薬品や出会い系のスパムメッセージに .eu ドメインが使われる例が増えていることを確認しています。これまでに確認されたスパムメールで多数を占めているのはドイツ語です。固有のパターンと特徴から、この攻撃には「一撃離脱」の手法が使われていることがわかります。

「一撃離脱」攻撃では、IP アドレスとドメインを短時間で切り替えて使います。大多数(80%)のスパム攻撃と異なり、一撃離脱メッセージは危殆化したコンピュータのボットネットから送信されるのではなく、以前の評価が不明なメールサーバーの IP アドレスから送信されます。

最近 Symantec Global Intelligence Network から報告されたデータでは、.eu ドメインを使ったスパムメールの件数は、6 月の第 1 週と第 3 週に微増していました。また、.eu ドメインを使いドイツ語で書かれたスパムメールの件数は、6 月の最終週に顕著に増えています。
 


 

メッセージを詳しく調べると、その大部分に類似の、主としてドイツ語の件名が使われていることがわかります。スパムメールの件名は受信者の姓名で始まりますが、これは受信者のメール情報から取得されたと考えられます。受信者の名前は、たいてい小文字で書かれています。姓名の後にカンマをはさんで出会い系や医薬品関連、または受信ボックスのメッセージの確認を指示する一般的な注意書きなどの文が続きます。

これまで確認されたところでは、以下のような件名が使われています。

  • anne orstad, Loreley zieht sich aus in der Porno Webcam(Web カメラの前で裸になるローレライ)
  • anne orstad, Tabea die liebliche 16 jaehrige(若干 16 歳の可憐なタビア)
  • anne orstad, Nadja die schoene 16 jaehrige(美貌の 16 歳、ナディア)
  • eric berkhout, Karlotte das anturnende Freulein(魅惑の少女カルロッテ)
  • grenchen, 1 neue Botschaft im Postfach von Nadinne bekommen(受信ボックスをご確認ください、ナディーヌからのメッセージがあります)
  • okermain, Eine persoenliche Message in Deiner Inbox von Jenice erhalten(受信メッセージがあります。ジェニスにぜひ返信を)
  • anita skjelkvale melleby, Verifizierte on-line Swiss-Apo(オンライン薬局 Swiss-Apo の保証付き)

スパムメール内の URL には、"sex" または "porn" という単語が含まれているほか、複数のダッシュが使われていることもこの URL の特徴です。
 

スパムメッセージで確認されているドメインは以下のとおりです。

  • [http://]www.heisse-sex-treffen.eu
  • [http://]www.jetzt-sex-treffen.eu
  • [http://]www.sofort-sex-kontakte.eu
  • [http://]www.seitensprung-sex-treffen.eu

ドメインはいずれもフランスの同じ会社で登録されており、登録者のファーストネームは Evgeny です。Evgeny という名前は東欧、具体的にはウクライナとロシアでごく一般的であり、スパマーがそれらの国に拠点を置いていることがうかがえます。

スパムフィルタをすり抜けるために、スパマーはメールの最後に List-Unsubscribe ヘッダーを追加して、正規のニュースレターに偽装しようとしている点に注意してください。このヘッダーは、正規のメール発行者やマーケティング会社から送信される電子メールで一般的に使われています。

シマンテックは、引き続きこの「一撃離脱」攻撃を監視し、お客様にこのようなスパムメッセージが届かないように追加のフィルタを作成する予定です。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。