Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

Spamdroid: 株式、金融、医薬品の広告スパムの送信元は本当に Android デバイスか

Created: 09 Jul 2012 02:30:28 GMT • Updated: 12 Jul 2013 23:18:43 GMT • Translations available: English
Stephen Doherty's picture
0 0 Votes
Login to vote

共同執筆者: Paul Thomas

この数日間、Android ボットが Android デバイス上のメールクライアントを乗っ取り、株式や金融、医薬品の広告スパムを送信しているというレポートが寄せられています。Android ボットが犯人である可能性はありますが、その他のシナリオも予想されます。たとえば、このスパムが危殆化したコンピュータから送信されているというケースです。

まず、7 月 3 日に送信されたスパムメールのサンプルをご覧ください。

 

 

サンプルには、以下のような件名が使われています。

  • Wall Street SHOCK ahead!(ウォールストリートを襲う衝撃!)
  • Leading Edge Market Analysis(最新の市場分析情報)
  • RE RE: Controlled Prescriptions(RE RE: 処方箋のご案内)
  • Special Situation Report(特殊状況レポート)
  • Fwd: Ground Breaking News Report(Fwd: 驚愕のニュースレポート)

これらのスパムメッセージが、乗っ取られた Android メールクライアントから送信されていると示唆する点が 2 つあります。

  • メッセージの Message-ID フィールドに "androidMobile" という文字列が含まれている。
  • メッセージでは "Sent from Yahoo! Mail on Android(Android 版 Yahoo! Mail から送信)" という署名が使われている。

 

 

: Yahoo! の署名は、Android 用 Yahoo! Mail アプリケーションを使ってメールを送信するとき、デフォルトで追加されます。

こうしたメッセージの本当の送信元はまだ確定できていませんが、実際には Android デバイスで Yahoo! メールアカウントからメールを送信する悪質な Android アプリケーションから送信されているのではないようです。

第 1 に、特別に細工された乗っ取り用コードを使ってローカルで悪用しない限り、デフォルトの Android メールアプリケーションからメールを送信しようとしても、バックグラウンドで自動的にそれを実行することはできないという理由が挙げられます。メールクライアントができるのは、送信するメッセージを表示し、ユーザーにメッセージ送信の操作を求めるくらいです。しかも、メールはデフォルトのメールクライアントからではなく、わざわざ Android 用 Yahoo! Mail アプリケーションから送信されたことになっています。

第 2 の理由は、利用されたアカウントが実際には正規のメールアカウントではないということです。このようなスパムを送信するために意図的に作成されたアカウントのようであり、いずれも類似のパターンを踏襲しています。名と姓、2 つの大文字、2 つの数字というパターンです。以下にその例を示します。

  • Corina Ullman [CorinaUllmande03@yahoo.com]
  • Dionne Wellner [DionneWellnerur36@yahoo.com]
  • Celeste Syrus [CelesteSyrusjf71@yahoo.com]
  • Kristin Jamison [KristinJamisondc53@yahoo.com]
  • Pearl Runge [PearlRungene76@yahoo.com]

最後に、このスパムの送信元 IP アドレスはほとんどモバイルネットワークのものではないという点を挙げることができます。たとえば、スパムに使われた IP アドレスのいくつかは、モバイル固有の情報を持たないスパムで以前に確認されたことがありました。あいにく、IP アドレスは使い回されており、ワイヤレスアクセスポイント(WAP)によってマスクされているため、IP アドレスからデバイスを特定しても確実とは言えません。

現在、これらのスパムの生成方法については、いくつかの仮説が立てられています。

  1. スパマーが Android 用 Yahoo! Mail アプリケーションと同じ Web サービスを利用している。この場合、スパムはスパマー自身が所有する危殆化したコンピュータから送信されたとも考えられますが、悪質な Android アプリケーションから送信された可能性も残ります。PC から Web サービス経由でメールを送信する機能については、確認が取れています。
  2. 悪質なアプリケーションが、何らかの方法で実際の Android 用 Yahoo! Mail アプリケーションを乗っ取った。メールは、ユーザーの知らないうちに送信先アドレスを指定されてバックグラウンドで自動的に送信されています。このシナリオでは、アプリケーションに設計上の欠陥がなければなりません。現在アプリケーションを調査中ですが、現時点でそのような欠陥は確認できていません。
  3. スパマーがメッセージヘッダーのフィールドを偽造している。

第 1 の仮説がもっとも現実的ですが、どの方法を取ったにしても目的はひとつで、スパムフィルタをくぐり抜けることです。

シマンテックは、このタイプのスパムが 2012 年 5 月から増加していることを確認しており、ユーザーの受信ボックスに届かないよう検出ルールを設定済みです。また、このスパムの進展を今後も監視する予定であり、本当の送信元の究明を続けています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。