共同執筆者: Paul Thomas
この数日間、Android ボットが Android デバイス上のメールクライアントを乗っ取り、株式や金融、医薬品の広告スパムを送信しているというレポートが寄せられています。Android ボットが犯人である可能性はありますが、その他のシナリオも予想されます。たとえば、このスパムが危殆化したコンピュータから送信されているというケースです。
まず、7 月 3 日に送信されたスパムメールのサンプルをご覧ください。
サンプルには、以下のような件名が使われています。
これらのスパムメッセージが、乗っ取られた Android メールクライアントから送信されていると示唆する点が 2 つあります。
注: Yahoo! の署名は、Android 用 Yahoo! Mail アプリケーションを使ってメールを送信するとき、デフォルトで追加されます。
こうしたメッセージの本当の送信元はまだ確定できていませんが、実際には Android デバイスで Yahoo! メールアカウントからメールを送信する悪質な Android アプリケーションから送信されているのではないようです。
第 1 に、特別に細工された乗っ取り用コードを使ってローカルで悪用しない限り、デフォルトの Android メールアプリケーションからメールを送信しようとしても、バックグラウンドで自動的にそれを実行することはできないという理由が挙げられます。メールクライアントができるのは、送信するメッセージを表示し、ユーザーにメッセージ送信の操作を求めるくらいです。しかも、メールはデフォルトのメールクライアントからではなく、わざわざ Android 用 Yahoo! Mail アプリケーションから送信されたことになっています。
第 2 の理由は、利用されたアカウントが実際には正規のメールアカウントではないということです。このようなスパムを送信するために意図的に作成されたアカウントのようであり、いずれも類似のパターンを踏襲しています。名と姓、2 つの大文字、2 つの数字というパターンです。以下にその例を示します。
最後に、このスパムの送信元 IP アドレスはほとんどモバイルネットワークのものではないという点を挙げることができます。たとえば、スパムに使われた IP アドレスのいくつかは、モバイル固有の情報を持たないスパムで以前に確認されたことがありました。あいにく、IP アドレスは使い回されており、ワイヤレスアクセスポイント(WAP)によってマスクされているため、IP アドレスからデバイスを特定しても確実とは言えません。
現在、これらのスパムの生成方法については、いくつかの仮説が立てられています。
第 1 の仮説がもっとも現実的ですが、どの方法を取ったにしても目的はひとつで、スパムフィルタをくぐり抜けることです。
シマンテックは、このタイプのスパムが 2012 年 5 月から増加していることを確認しており、ユーザーの受信ボックスに届かないよう検出ルールを設定済みです。また、このスパムの進展を今後も監視する予定であり、本当の送信元の究明を続けています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。