医薬品を宣伝するスパムメッセージは、ここ数年間最もよく見られるスパム攻撃となっています。医薬品は、さまざまな不明瞭化の手法を採用した電子メールによって、それらしい体裁で販売されています。シマンテックでは最近、YouTube の名前を不正に利用した医薬品スパムの活動を確認しました。特定のブランドを不正利用した同様のスパム活動は過去にも見られましたが、今回のスパム攻撃で確認された電子メールの数は膨大なものです。
このスパム攻撃で確認された差出人行と件名行のサンプルは次のとおりです。
差出人: YouTube Service(YouTube サービス) <service@youtube.com>
件名: YouTube Administration sent you a message: Your video on the TOP of YouTube(YouTube 管理者からのメッセージ: あなたの動画が YouTube で人気を集めています)
件名: YouTube Service sent you a message: Best Unrated Videos To Watch(YouTube サービスからのメッセージ: 未評価の人気動画)
件名: YouTube Support sent you a message: Your video has been removed due to terms of use violation(YouTube サポートからのメッセージ: あなたの動画が利用規約違反のため削除されました)
これらの件名により、スパマーは受信者の間に好奇心を植え付けようとしています。スパムメッセージは、受信者のビデオが YouTube の人気ビデオとなっていることか、受信者の特定のビデオが利用規約違反のために削除されたことを示しています。ほとんどの場合、メッセージ本文にある URL リンク付きのテキストが、このスパム活動におけるコールトゥアクション(行動喚起)となります。貼り付けられた URL は YouTube へのリンクに見えますが、実際には乗っ取られたドメイン上にホストされたスパム URL です。クリックすると、すべての URL は、スパマーにより最近作成されたドメインでホストされているカナダの薬局の Web ページ(以下の画面)にリダイレクトされます。これらのドメインの一部は、ロシアやフランスで登録されたことがわかりました。皮肉なことに、スパマーはリンクを配置することで、いずれも同じ薬局の Web ページにリダイレクトするスパムであることを報告していることになります。YouTube がこのスパム活動に関連していないことは明らかで、そのような製品を推奨する Web ページに導く電子メールを送信したりもしていません。
このスパム攻撃に関与している IP アドレスはボットネットの一部であり、同様のスパム活動に過去に利用されたことからブラックリストに載せられています。これらのメッセージは、大量のスパムを配信するため、複数のボットネットを使って送信されたものと思われます。
上記のスパムメッセージは、2011 年 5 月 24 日に Symantec Probe Network で確認され、同様のテンプレートを持つスパムメッセージの別の亜種が、2011 年 5 月 30 日に確認されています。Symantec Brightmail フィルタには、これらのスパム攻撃を遮断します。最初の数時間だけで、100,000 件を超えるスパムメッセージをこの攻撃から遮断しました。ピーク時の 2011 年 5 月 30 日には、1 日だけで 800,000 件を超えるメッセージが遮断されました。次のグラフは、どれくらいの数のメッセージがこの攻撃から遮断されたかを示しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。