台風 30 号(ハイエン)による最大の被災地となっているタクロバンが現在、スパマーによる大規模なディレクトリハーベスト攻撃(DHA)の標的となっています。
DHA 攻撃は、標的となった電子メールサーバーに関連する電子メールディレクトリや電子メールの有効性を確認するために仕掛けられます。その目的は、情報を収集してデータベースを整備したうえで、特定のサイトに対する大規模なスパム攻撃の基盤を準備することです。拒否された電子メールは送信されずに配信不能レポート(NDR)が返ってくるため、それ以外が有効なアドレスであると特定され、たちまち大量のスパムやフィッシング、マルウェアの添付された電子メールによる攻撃の標的となります。
この攻撃を仕掛けているスパムは、大手インターネットサイトやサービスプロバイダから著名な報道機関や通信社を装って送られていますが、その意図は、有効な電子メールアドレスを収集することにあります。
電子メールの作りはごく単純です。件名と本文の内容は、有名ニュースサイトで 2013 年 11 月 14 日前後に公開されたニュース記事からの引用です。差出人と件名には、スパムフィルタによる検出を避けるために末尾にランダムな数字が追加されています。
件名: Typhoon: After battle to survive, the struggle to live 26488(台風災害: 生き残った人々の被災生活続く 26488) 差出人: "Typhoon: After battle to survive, the struggle to live 26488"(「台風: 台風災害: 生き残った人々の被災生活続く 26488」)<電子メールアドレス>
図 1. DHA 攻撃によって送信された、台風 30 号に関するスパムメール
ディレクトリハーベスト攻撃認識機能を設定して Web サイト環境を保護し、攻撃を撃退するためにスパムフィルタのアルゴリズムを更新するようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。