シマンテックは、URL に .gov が含まれるスパムメッセージの増加を確認しています。以下に示すのが、そのサンプルメッセージのスクリーンショットです。
本来、.gov を使う URL は政府系機関に限定されているため、なぜスパマーがスパムメッセージの URL に .gov を使えるのかという疑問が生じます。
その答えは、この Web ページにあります。
1.USA.gov is the result of a collaboration between USA.gov and bitly.com, the popular URL shortening service. Now, whenever anyone uses bitly to shorten a URL that ends in .gov or .mil, they will receive a short, trustworthy 1.usa.gov URL in return.
(1. USA.gov は、利用者の多い URL 短縮サービスである bitly.com と USA.gov を組み合わせた結果として生成されます。.gov または .mil で終わる URL を bitly サービスで短縮すると、誰が実行しても、信頼性のある 1.usa.gov という URL が返されます)
これは政府系機関とその職員が合法的に使える機能ですが、スパマーにとっても都合のいい抜け道ということになります。オープンリダイレクトの脆弱性を利用すれば、スパマーは 1.usa.gov を含む URL を設定し、そこからスパム用 Web サイトにユーザーを誘導することができるからです。
上に示した例で言うと、
[http://]1.usa.gov/[削除済み]/Rxpfn9
から
[http://]labor.vermont.gov/LinkClick.aspx?link=http://workforprofit.net/[削除済み]/?wwvxo
にリンクし、さらに以下の URL に誘導することができます。
[http://]workforprofit.net/[削除済み]/?wwvxo
最終的なスパムページは在宅ワークの詐欺 Web サイトですが、金融ニュースネットワークの Web サイトに見えるようにデザインされています。
Web サイトを本物らしく見せるために、スパマーはほかにもリンクを追加しています。たとえば、上部のメニューバーや他のニュース記事(上の図では見えていません)からは、偽装されている金融ニュースの Web サイトに実際にリンクしています。そうしておきながら、問題の記事に設定されたリンクからは別の Web サイトにアクセスするようになっていて、それが広告に使われているのです。
USA.gov は、1.usa.gov の URL を誰かがクリックするたびに生成されるデータを提供しています(リンクはこの Web サイトで公開されています)。過去 7 日間のデータを解析すると、このトレンドは 10 月 12 日に始まったことがわかります。10 月 18 日の時点では、1.usa.gov の短縮 URL が 43,049 回クリックされ、それが以下のスパムドメインにリンクされていました。
- consumeroption.net
- consumerbiz.net
- workforprofit.net
- consumeroptions.net
- consumerlifenet.net
- consumerbailout.net
- consumerlifetoday.net
- consumerneeds.net
- consumerstoday.net
- consumerlivestoday.net
次のグラフは、1 日当たりのこのスパムのクリック数を示しています。
このグラフからわかるように、10 月 18 日にスパム量の突出が見られます。このときの増加が原因で、同日のスパムクリック数は 1.usa.gov 全体の 15.1% を占めました。
データからは、スパム量以外に、クリックのあった地域についてもうかがい知ることができます。43,049 回のスパムクリックのうち 36,664 回には国名/地域名コードが関連付けられており、識別されたのは 124 カ国にのぼります。1 日当たりのクリック数で上位の 4 カ国は、米国、カナダ、オーストラリア、英国でした。総計でも米国の占める比率が最も高く、全クリック数の 61.7%に相当します。
URL 短縮サービスやオープンリダイレクトの脆弱性を悪用すること自体は新しい手口ではありませんが、スパマーがリンクに .gov のサービスを利用しているという点に注意が必要です。常に基本的なセキュリティ対策(ベストプラクティス)に従って、リンクを開くときには、たとえ .gov を含む URL であっても注意するようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。