Symantec.com > 企業・法人向け > セキュリティレスポンス > インターネットセキュリティ脅威レポート > レポートの閲覧 > 不正な活動の傾向

不正な活動の傾向

不正な活動の傾向の概要 | 最新のイベントを利用するフィッシング詐欺 | アンダーグラウンドエコノミーサーバー — 販売対象となる商品およびサービス | ボットネットから送信されるスパム | ボットネットスパムの送信元 | 重要なスパム戦術 | スパムのカテゴリ

ボットネットから送信されるスパム


背景
このセクションでは、ボットネットとスパムの送信におけるボットネットの活用について説明します。ボットネットは、SMTP パターンと電子メールのヘッダーの構造で識別できます。スパムメールは、SMTP トランザクションフェーズで発信元ボットネットによって、細かい分析のために分類されます。この分析では、スパムの送信に関与するボットネットのみ対象とし、金融詐欺や DoS 攻撃など、これ以外の目的に使用されるボットネットについては対象外としています。

分析方法

メッセージラボ インテリジェンスによるスパムのハニーポットは、2010 年に 1 日あたり 3,000 万通から 5,000 万通のスパムメールを収集しました。これらのメールを、SMTP 通信に適用される一連のヒューリスティック規則と電子メールのヘッダー情報に基づいて分類します。送信者のソース IP アドレスに基づいた既知のボットネットトラフィックの分類には、内部および外部のさまざまな IP レピュテーションリストも使用しています。また、情報を他の業界関係者と共有し、最新の正確な情報を常に確保しています。

データ

図 24. Rustock ボットネットが送信したボットネットスパムの 1 日あたりの割合、2009–2010
資料作成:MessageLabs Intelligence


図 25. Grum ボットネットが送信したボットネットスパムの 1 日あたりの割合、2009–2010
資料作成:MessageLabs Intelligence


図 26. ボットネットから送信されたスパムが電子メール全体に占める割合、2009 年 7 月–2010 年 10 月
資料作成:MessageLabs Intelligence


解説

2010 年はボットネットスパムの全体量が減少: 世界全体で発行されたスパムの全体量は、2010 年の年末に向けて減少しました。これは、複数の主要なボットネットの送信量が減少したためです。2010 年にボットネットから送信されたスパムが減少した主な原因は、2010 年秋の SpamIt アフィリエイトプログラムの閉鎖にあると推測されます。SpamIt は、既知の医薬品関連では最大のスパムアフィリエイト (「Canadian Pharmacy」ブランドの活動の大部分を実行していた) で、最大規模のボットネットとして主に医薬品に関するスパムを送信していました。
少ないボットで多くのスパムを送信する戦略への転換: Rustock からのスループットの増加に関する注目すべき要因の 1 つとして、その管理者が 2010 年 4 月に TLS 暗号化機能を使用するスパムの送信を中止して、電子メール接続の速度を高めたことが挙げられます。1 たとえば、2010 年 3 月のピーク時には、TLS 暗号化スパムはスパム全体の 30% 以上を占め、Rustock から送信されたスパムの 70% が TLS 暗号化接続を使用して送信されていました。しかし 2010 年 4 月以降は、スパム送信時の TLS 使用率が大幅に低下し、2010 年末にはスパム全体の 0.1% から 0.2% にまで減少しました。TLS を使用すると、追加の暗号化処理が必要になるために接続が遅くなります。シマンテックは、Rustock の管理者がこの追加機能を無くして、ボットネットの送信量全体の減少を埋め合わせる必要があったと推測しています。TLS の使用を停止したことにより、Rustock は多くのボット数と TLS を使用していたときと比べて、少ないボット数で多くのスパムを送信できるようになりました。

2010 年の主なボットネットの活動

Rustock は、2010 年についても、100 万台のボットを配下に置く最大のボットネットとなりました。このボットネットがスパム全体に占める割合は、2009 年の割合の 2 倍以上となっています。2010 年を通じて最大規模を維持したこのボットネットは、今期に送信されたスパム全体の 36% を送信し、特に 8 月と 10 月には全体の 64% と最大量のスパムを送信しています。Rustock のスパム送信量は 2010 年末に減少しましたが、これは前述のとおり SpamIt の閉鎖によるものと推測されます。

Grum は、2010 年末の時点でスパムを送信するアクティブなボットネットの第 2 位にランクされています。アクティブなボットの数とスパムの送信量は、今期のピーク時から期末に向けて減少しています。このボットネットの送信量が全体に占める割合は、今期半ばの 16% から期末の 9% へと減少しました。さらに、このボットネット配下のボット数は 50% 以上の減少を記録し、世界全体でのボット数は 310,000 台から 470,000 台と見積もられています。

Cutwail は、2010 年のボットネットの第 3 位にランクされ、世界全体のスパムの約 6% を送信しました。配下のアクティブなボット数は、2009 年末時点に配下にあったボット数に対して約 16% 増加しています。2010 年には何度か活動停止の措置も実行されましたが、Cutwail のスパム送信量は短期間でわずかに減少しただけでした。そのような措置がとられても、1 日から 2 日以内に通常の状態に復帰しています。2010 年には、Cutwail はすべての主なボットネットの中でも最も多種多様なスパムを送信し、たとえばトロイの木馬の Bredolab を含むスパムメールについては最大の送信元となりました。

Maazben は、2010 年半ばには、スパムを送信するアクティブなボットネットの 10 位以内にランクされなくなっていましたが、下半期には活動が復活し、年末にはスパム全体の 5% 超を送信してアクティブなボットネットの第 4 位にランクされました。2010 年末における Maazben 配下のアクティブなボット数は、2010 年 3 月との比較では 1,000% 以上の増加率を示し、510,000 台から 770,000 台と大幅に増えています。

2009 年末に向けて、Mega-D ボットネットを活動停止に追い込む取り組みが効果をあげた形跡も見られました。しかし、わずか数日で、このボットネットは多数の新しい IP アドレスを使用してスパムの送信を再開しました。その時点で、このボットネットは世界全体のスパムの約 18% を送信していました。2010 年末の時点では、Mega-D が世界中に送信したスパムは全体の 2.3% を占めています。このボットネット配下のアクティブなボット数は約 58% 減少し、各ボットのスパム送信量は今期の四半期ごとにほぼ半減しています。具体的には、今年 3 月の時点ではアクティブなボット 1 台が毎分 428 通のスパムメールを送信していましたが、年末にはボット 1 台あたりの送信量は毎分 105 通になりました。Mega-D はまた、SpamIt アフィリエイトからの大量のビジネスを基盤としていたため、10 月のアフィリエイトの停止以降は活動が停滞していると推測されます。

2008 年以降、 Storm は小規模のボットネットとして活動していましたが、2010 年 4 月と 5 月には、アクセスするユーザーをスパム Web サイトにリダイレクトする正規の短縮 URL を駆使するスパムキャンペーンに関与して、活発な活動を見せました。短縮ハイパーリンクが添付されたスパムの送信量は、4 月末にピークの 18% に達しました。これは、234 億通のスパムメールに相当します。2010 年 5 月には、Storm の送信したスパムが短縮ハイパーリンクを含むスパム全体の約 12% を占めました。

  • 1 トランスポートレイヤセキュリティ (Transport Layer Security) は、データの暗号化によって公共ネットワーク経由の通信の安全確保と認証を行うプロトコルです。