3 カ月近く活動を休止していた Necurs ボットネットが、先週になって息を吹き返し、かつて悪名をはせた大量スパム送信の活動を再開しました。Necurs (Backdoor.Necurs) は、2016 年にマルウェアを拡散した元凶のひとつであり、Locky ランサムウェア(Ransom.Locky)を拡散する大規模なスパム活動を続けていました。ところが、2016 年 12 月 24 日に活動を停止。理由はわかっていませんが、その影響は、マルウェアを拡散するスパムの件数が急に減少するほど大きいものでした。
Necurs が活動していた最後の月である 2016 年 12 月には、シマンテックが遮断したメール 98 通あたり 1 通がマルウェアを含んでいました。それが、翌 2017 年 1 月に入ると 772 通あたり 1 通に、2 月には 635 通あたり 1 通へと減少しています。
[click_to_tweet:1]
図 1. シマンテックで確認されたメールマルウェアの比率は、Necurs が活動を停止した昨年 12 月に大幅に減少(縦軸の数あたり 1 通)
休止の理由は不明
Necurs は、2016 年 12 月に突然その活動を停止しました。最後のスパム送信は、12 月 22 日に始まって、同 24 日に終わっています。当初シマンテックは、Necurs を操るグループがクリスマス休暇で一時休止しているものと考えました。サイバー犯罪集団によく見られる行動だからです。ところが、クリスマスシーズンが終わっても、活動が再開されることはありませんでした。逮捕者が出た、あるいはインフラストラクチャが解体されたという報道もなく、活動停止の理由はわからずじまいでした。
1 月に入ると、以前よりかなり縮小した規模ながら Necurs が Locky 拡散のスパム活動を再開したと一部メディアで報道されています。その間、シマンテックは Necurs のスパム活動をまったく確認しませんでした。Locky を拡散するスパムとして報道されていたのは、別のスパムグループによる活動だったというのが、シマンテックの見解です。
Necurs の復活に先立って、シマンテックは活動再開の証拠となりそうな事実をつかんでいました。2 月中旬以降、グループが新しいコマンド & コントロール(C&C)サーバーをオンラインに用意し始めていたということです。
Necurs のスパム活動が再開されたのは 3 月 20 日のことで、初日だけでもシマンテックは悪質なメールをほぼ 200 万通も遮断しました。それ以来、Necurs の活動時間帯には 1 時間 10 万通を超えるメールを常に遮断しています。
[click_to_tweet:2]
シマンテックは相当数のメールを遮断しましたが、それさえ、Necurs が送りつけているスパム総量の一部にすぎません。その活動がいかに大規模なものか、そして Necurs によるスパム攻撃の被害がどれほど大きいか、容易に想像がつきます。
図 2. 2017 年 3 月 20 日以降シマンテックで記録された Necurs スパムの件数
パンプアンドダンプ(株価操作): 活動の性質が変化
休止以前の Necurs は、マルウェアを拡散するスパムとして主に知られていました。JavaScript または Office マクロの形式でダウンローダを添付ファイルに潜ませるタイプです。昨年 12 月、休止に入る直前には「パンプアンドダンプ」と呼ばれる株価操作詐欺の手口を使い始めていましたが、復活してからの Necurs はマルウェア拡散を避け、パンプアンドダンプ詐欺に専念するようになっています。
送信されるメールは何種類かありますが、いずれもフォーマットは類似しており、送信元を株価情報の提供者に偽装しています。投資関連のニュースレターに登録したことがあるユーザーに宛てて送信している、と称するメールもあります。どのメールにも共通しているのが、特定銘柄の株を勧めていることです。その銘柄企業が、現在取引されている 10 倍以上の株価で売りに出されるという内部情報をつかんでいると説明されています。メールで使われている件名の一部を以下に示します。
- This public company is being bought out. Read now to profit from it(買収予定の公開会社あり。今すぐ、お得情報をお読みください)
- Read Now: Why this company’s shares are guaranteed to soar next week(今すぐ開封を: 来週、値上がり必至の銘柄はこれ)
- I've got strong reasons to believe that this stock is about to soar(この銘柄の株が急騰する確実な理由があります)
- Allow me to share something profitable with you today(お得情報を、今すぐ共有させてください)
メールは、古典的な株価操作詐欺の一部のようです。定番の手口として、詐欺師は、小さい企業の安価な株を大量に手に入れたうえで、株価の上昇を狙った噂を広めます。たとえば、その会社は買収される予定だとか、目玉となる新製品の発表が近いといった虚報です。株価がつり上がったところで詐欺師は手持ちの株を売り払うため、株価は急落し、被害者が投資分を取り戻せる見込みはほとんどなくなります。
招かれざる再登場
Necurs が、復活とともに大規模なスパム活動を再開できたということは、どんな理由で休止していたにせよ、その間に能力をまったく失っていなかったことになります。マルウェアの拡散まで再開しているのかどうかは、今のところ判明していませんが、活動の規模だけを考えても、拡散の内容にかかわらず深刻な脅威であることは間違いありません。
保護対策
シマンテックとノートンの製品をお使いであれば、マルウェアによってボットネットに組み入れられてしまう脅威からは、以下の検出定義で保護されています。
ウイルス対策:
侵入防止システム:
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】