Cloudmark is now part of Proofpoint. Learn More

About Proofpoint

Cloudmarkセキュリティ脅威レポート2014年第3四半期

中国発: デザイナー偽物商品とiMessageスパム

直近の四半期にAppleのiMessageは、中国を拠点とするスパマーグループの餌食になりました。このスパマーグループは過去6か月に見られた唯一かつ最大の米国モバイルスパムキャンペーンでiMessageに大量のスパム洪水を引き起こしたのです。—当日の米国で報告された全モバイルスパムのほぼ80%をこの四半期での数日間が占めました。これらのメッセージの目標は、最も人気があったOakley、Ray Ban、Michael Korsのブランドサングラスやハンドバッグへの打撃を広めることでした。

今四半期の初旬に、Cloudmarkは、限定的な価値のあるクレジットカードを使い、スパムメッセージでウェブサイトの1つから注文することでこれらスパムのいMessagesを利益化するスパマー’の手法の調査を開始しました。これがクレジットカードフィッシングや強力な詐欺の種類であると思われました。しかし、パッケージは中国から発送されており、注文したものに類似した実際の商品が届きました。検査すると、その商品は意図した商品の正当なものではないことが明らかでした。

iMessageスパムで広告されていたウェブサイトから注文したMichael Korsのバックの偽造品
iMessageスパムで広告されていたウェブサイトから注文したMichael Korsのバックの偽造品
写真家: Dan Conway

この偽物版は、全体的に安くメッキのバックルと留め金、ラベルを含むいくつかのアイテムが付いた安いイミテーションの皮でできており、複数の金属のボタンは英語ではなく中国語で刻印されていました。バッグの底部のラインは長方形の粗末なものでした。

中国語の刻印のボタンを含む、安ッぱいメッキの留め金
中国語の刻印のボタンを含む、安ッぱいメッキの留め金
写真家: Dan Conway

商品の品質には、驚くに当たりません。特定のバナーやサイトのアート資産は本物のデザイナーブランドのコピーのようですが、偽物を宣伝するドメインは商品と同様に一般的に偽造品に見えるからです。。

多くのMichael Kors偽造品サイトの1つ
多くのMichael Kors偽造品サイトの1つ

これらの詐欺のドメインの登録者は1つ例外であるものの、すべては中国のIPアドレスと中国の名前が付いたものでした。AppleのIDに関連した様々なメールドメインの分析により、このiSpamを吹き飛ばしたことが報告され、また多くが人気の中国のウェブメールサイトからのものであったことが判明しました。そのピークの間、送信者の59%は中国のメールアドレスでした。しかしながら世界中の誰もが中国語メールとApple IDに簡単に登録することができます。これらの情報を追跡したところ、荷物は蘇州市からおよそ3時間以内にある場所から発送されていました。

こうしたデザイナーブランドの所有者は注意しており、このスパムが拡大する中、最も使われたドメインの多くは著作権違反で取り下げられました。ブランドを代表する法務チームは、アクセス者へ違法な商品に関する免責警告と犠牲者がお金を取り戻す方法についてのアドバイス内容にサイトを差し替えました。このキャンペーンの期間でのGreer Burns & のCrain 知的所有権法による削除も際立って素早いものでした。数週間、元々掲載されていたサイトは、今四半期の後半に直ちに閉鎖し始め、スパム’は四半期の最終月にはなくなりました。

図1

メッセージのこうした大量送付前は、iMessageは、唯一のもの、あるいはスパムを飾る第1の方向として使われていましたが、稀なものでした。

GucciやPrada、その他のデザイナー商品において極端なディスカウントを提供する同様のキャンペーンは以前、先週のブラックフライデイのサンクスギビングデイの休日の間に全国のiPhoneに打撃を与えました。しかしこれはただのテストランであったためにすぐに弱まりましたが、このキャンペーンは、この5月に再開し、数日だけでなく数カ月間にわたり、メッセージも極めて大量になりました。その結果、苦情は7726件に上りました。

レポートでは、5月の米国でのモバイル登録者が受信をした不要な全テキストメッセージの40%は、偽商品を販売しようとするたったひとつのキャンペーンからのものであったことを示しています。その第3四半期全体で、5件のスパムテキストの1件はiMessageからでユーザーのiPhone, iPad, Mac デスクトップの受信箱を占領しました。ユーザーがiSpamを受信し始めたためその四半期の間ずっと苦情がTwitterに殺到しました。

iMessageスパムに関する苦情をツィートする

この1つのキャンペーンスパムは、第3四半期に見られた“オークション/ 販売サイトスパム”のほぼ全体に寄与しています。銀行口座フィッシングなどのSMSスパムの他の種類は、SMS苦情の大半を占めていましたが、多く異なったキャンペーンの集合体であり、様々な種類の口座をターゲットにしており、表面上無関係の法人により運営れており、そこではiMessageスパムは1つのキャンペーンのすべてであるようでした。

図2

市外局番をターゲットにした銀行フィッシング攻撃は、今年の初旬に米国の多くの地域を悩ましていましたが、春になると一地域から減っていきました。9月の間、国内で報告されたテキストの半分は被害者から個人情報もしくは財務情報を盗もうというものでした。

図3

今回の銀行フィッシングは、今年の初旬と比較し広い網を仕掛けており、受信のデビットカードはブロックされているか、彼らが国内の金融機関の一つから緊急のメッセージがある、と単に告げるものでした。例えば、Wells FargoやBank of America、そしてChaseがなりすましにあった銀行でした。今回の違いは、フィッシング詐欺者は銀行の偽のウェブサイトを使い始めたことであり、ユーザに口座情報を教えさせる手法でした。興味深い手法の一例として、お客様の口座回復の質問への一般的な答えを盗もうとする一連のBank of Americaのフィッシングサイトでした。

Phishing site screenshot

ピーターパン攻撃とその他のトロイの木馬

9月8日に始まり、広く知られたメールスパム攻撃は、英国ボーンマスでのピーターパン上演のチケットを受けることを狙っていました。攻撃の大半は英国のユーザを対象にしていましたが、Cloudmark Global Threat Networkは、アイルランド、米国、日本、オーストラリア、そして香港を含め、多くの他の国のユーザに送信されていたこれを確かに検知しました。この攻撃は、通常、スパムの対象とならない大量の企業メールアドレスを攻撃したことが注目されました。スパマーはメーリングリストを作るために感染したコンピュータから連絡先情報を収集するために既存のボットネットを使っていたのです。

フィッシングサイトのスクリーンショット

ピーターパン攻撃のペイロードは、Cridexマルウエアであり、BugatまたはFeodoとしても知られていました。1 このトロイの木馬は、犠牲者からハーベスト情報を収集するためにHTMLの導入を利用する点でGameOver/Zeus攻撃に類似しています。これにより、このマルウエアは、ユーザと銀行のウェブサイト間のトラフィックを傍受し、フォームに追加の欄を挿入することができます。このようにして、ユーザにソーシャルセキュリティ番号など追加の個人情報、質問を疑う答え、さらに2重の要素の認証情報を入力するよう促します。

Cridexはメールで配信されることが分かっているトロイの木馬の唯一の方法ではありません。DyreまたはDyrezaはその攻撃を増やしてきています。これも、銀行の認証情報を盗もうとするものです。ペイロードは、フルなマルウエアパッケージを搭載するダウンローダーです。それをプロモートするメールは、ピーターパンスパムとして視覚的にアピールし、通常、請求書や出荷通知としてのビジネス通信の形を取っています。

マルウエアメール

Cryptowallランサムウエアは悪意のある広告を行うことにより広められています。2当社ではそれをスパムペイロードとして把握しています。最近の攻撃は偽造ファックス通知でした。

マルウエアメール

これら、また現在のトロイの木馬は、デジタルに署名された実行可能なファイル、同質異形ファイル、及び旧式の.arjフォーマットを含めたような圧縮技術の利用などで、アンチウィルスパッケージによる検知を逃れるために多くの異なるテクニックを利用しています。こうした急速に変化する攻撃に対処するためには、利用される配信メカニズムのみならず、現在のAVパッケージを阻止するために、優れたスパムフィルタリングを設けることが重要です。3

国別のブロックされたIPアドレス

ルーマニアが3位に落ちる。ベラルーシでは劇的な長期の改善

米国はCloudmarkによってブラックリストに入る最も多くのIPアドレスの評価でいまだ1位で、中国がルーマニアから2位の座を引き継ぎました。3位のルーマニアはこの1年で若干下降気味ながら大体安定していましたが、米中両国箱の2年上昇傾向でした。

図4

IPv4アドレスが枯渇してきているのでこれは幾分理解できることであり、そのほとんどは既に割り当てられています。専用のIPアドレスの借用料はより多くのIPアドレスを割り当てられた国では安く、最大のIPアドレスのスペースが割り当てられた国は米国と中国が全IPv4アドレスの44%を占めています。

規模は小さいながら、当社は東欧からの重要なサクセスストーリーを報告することができます。2013年第2四半期の脅威レポートにおいて、当社はベラルーシに割り当てられた全IPv4アドレスの27%程度がフィルタをかけていたことに注目していました。公表後まもなく、当社はベラルーシのCERTから連絡を受け、その問題の詳細内容を知ることになります。それ以来、ベラルーシでのブラックリスト化されたアドレス数は長期にわたり一貫して減少し続けています。

図5

現在、ピークの値の10分の1以下の2.6%まで下がりました。

ブロックされたIPv4アドレスの割合に関しては、ベラルーシは第3位で現在イランと並んでおり、ルーマニアとパナマの次に位置しています。ベトナムとウクライナは4位と5位です。

図6

その国に割り当てられた総アドレス数があまりに少ないため本レポートで省かれていますが、ブロックされたIPv4アドレスを高い割合で持っているその他の国々があることにご留意ください。

国別レポート:ロシア

巨大かつ多様な国々から予想されるように、ロシアはスパムの際立った発信源です。Cloudmark Global Threat Networkは現在、米国とブラジルについで世界で3番目に位置しています。当社は家庭用及びモバイルインターネットサービスを提供する大規模通信プロバイダそして様々なホスティング企業と取引があります。その中にはスパマー専用にサービスを提供している企業があることも把握しています。例えば、通信企業から来るトラフィックは、おそらくボットネットからのものです。さらに、ロシアのパソコンユーザは米国よりも高い割合で未だにWindows XPを動作させています。4そして、この時代遅れのオペレーティングシステムは最近のソフトウエアよりも攻撃に対して脆弱なのです。

ロシアから発信されるスパムのおよそ60%は米国に送られます。その残りの多くは、オーストラリア、日本、英国、イタリアそしてブラジルに送られます。

図7

ロシアの消費者はスパムに対して免疫力がありませんが、ロシアで受信される全スパムのおよそ30%はロシア国内のもので、隣国のウクライナからさらに10%のスパムがあります。事実、ウクライナからロシアへのほとんどすべてのトラフィックはスパムです。

図88

ロシアにアンチスパム法がないため、多くのロシアのスパムはただ宣伝文句のマーケティングとして捉えられています。しかし、そこにはさらに悪質なフォームのスパムがあります。例えば、バイナリ―オプショントレーディング詐欺を引き起こす偽のロシアのブログにリンクする多くのメールを把握しました。5

ハイテクの仕事が無いことに併せ、優れた教育システムがロシアをより重大なサイバー犯罪者のための重要拠点になっています。彼らの多くは攻撃の一部としてスパムを利用しています。FBIは現在、銀行の認証情報を盗もうとするゼウス・トロイの木馬を作成し、Cryptolockerランサムウエアに関連する容疑のロシア市民のEvgeniy Mikhailovich Bogachev6に対する未執行の令状を持っています。セキュリティ研究者は、ロシアのサイバー犯罪者は、他国の犠牲者に罠をかけることのみを前提に、現地当局にただ乗りを許されており、彼らが2007年の対エストニアの攻撃や2008年の対ジョージア攻撃など、サイバー戦争攻撃で支援していることをほのめかしています。しかし、昨年、ロシアの当局はブラックホール搾取キットの著者容疑のDmitry Fedotov7を逮捕しました。問題の一部は、2011年の警察改革まで、ロシア警察制度は高度に分散化し、モスクワの当局者は他の地域のサイバー犯罪者捜査と告訴を行う前に克服すべき手続き上の困難を抱えているのです。警察改革の目標の一つは、組織犯罪に関与している全ての警察官僚を排除することでした!ロシア人がBogachevやそこを本拠地とする他の犯罪者にFedotovの逮捕が実現するよう期待しましょう。

DNS DDoSの性質の頻度

インターネットをナビゲートする時、ドメイン名システム(DNS)はドメイン名(cloudmark.comなど)とそれに関連付けられたIPアドレス間の変換を行い、ブラウザとその他のソフトウエアプログラムがそれが探しているコンピュータ、サービス、あるいはネットワーク接続の資源を見つけることができるようにします。ドメインネームサーバはこうしたDNSレコードの保管場所として機能し、そのドメイン名に関する情報のリクエストに対する回答を行います。これらのドメインネームサーバは一般的に再帰的であり、ローカルに蓄積されていない記録について権限ネームサーバにリクエストを渡します。

DNSサーバは、それに続く大量のリクエストにさらに効率的に回答するための方法として頻繁にリクエスト結果をキャッシュします。短時間に行われた前のリクエストをキャッシュするネームサーバの能力により、権威ネームサーバで同じドメインを繰り返し検索してソースを無駄にする中間ネームサーバの必要性が減少します。しかし、攻撃者はこのキャッシングを迂回することができ、権威ネームサーバに対してサービス否定攻撃を仕掛けます。

Cloudmark Security Platform for DNSを利用するCloudmarkのエンジニアは、DNSインフラ上での重い負荷時間を認識した大規模のISPから収集したTCPトラフィックキャプチャ内で大量のDNSベースの攻撃を特定することができました。Cloudmark Security Platform for DNSはこの分析に対するTCPトラフィックキャプチャ上でオフラインモードで動作していましたが、それはリアルタイムDNSトラフィックのタップ上でのパッシブモードで、またはDNSトラフィック上での直接のアクティブモードで動作させることもできます。この特定の攻撃は、比較的少数のユニークドメインに送信された過度のリクエストにより特徴づけられていました。これらのリクエストは、表面上ランダムなサブドメインで十分に正規のドメイン名(FQDN)をリクエストするパターンを利用していました。FQDNのフォーマットは以下のとおりでした:

[random sub-domain] . [generic sub-domain] . [SLD] . [TLD]

例:

epolanungbmzyzsp.www.game188.com

1つの仮説は、ランダムなサブドメインはDNSトネリングを通してデータを渡す目的に使用されていたということでした。しかし、サブドメインで観測されたパターンはトネリングを起こりにくくしていました。唯一のアルファベット文字a-zは、サブドメインに使用されていました。このようにして、大文字小文字の区別のないサブとメインをベースの26文字に制限していました。DNSで可能となった標準の文字に対してサブドメインでデータをこのようにコード化することは、ベースの26文字のシステムが1バイトの情報を送信するのに単に2文字必要とするため、DNSトネリングに対する効率性を減じることになります。

使用されているアルファベット文字を分析すると文字の頻繁な配信は完全にフラットであるということが分かりました。つまり各文字は数百万のサブドメインリクエストにおいてほぼ同じ回数利用されていました。各文字の利用は、最も少なく利用された文字から最も多く利用された文字まで0.5%以下のばらつきにすぎませんでした。以下のグラフでは、文字記述が以下に均等であるかということがわかります。

図9

サブドメインの長さも厳密にパターン化されていました。各々の長さはほぼいつでも偶数の値でした。1つのセカンドレベルドメイン(SLD)はこのパターンに当てはまらないサブドメインを持っていました。しかし、そのサブドメインは全て、奇数の長さに限定されていました。

game188.comに対して単一のIPアドレスリクエストを行うことに重点を置くということによりサブドメイン内の文字に位置のパターンンが明らかになりました。明確なセットに属する文字のみが、サブドメイン列内での各ポジションに見えました—1つのセットはアルファベットの奇数文字で、他は偶数の文字。そのため、サブドメインの2番目の文字はa, c, e, gなどだけであるが、2番目の文字はb, d, f, hなどとなります。これが3番目、4番目そして全てのそれに続く位置に継続していました。game188.com:に対する唯一のIPからのサブドメインリクエストに利用される最初の文字の事例は以下の通りです:

図11

この交互に来るスキームは、各位置がアルファベット’の文字の半分の内の1つとなりえるため、さらにサブドメインをベースの13文字に制限しています。トネリングが使われている場合、現在3つの文字は1バイト—をエンコードするのに必要とされ、非効率的でさえあります。以下は、game188.comに対するリクエストの全ての位置に対する文字の頻度を示しています。

位置別のサブドメイン文字頻度
図12

これは位置毎に使用される交互の文字パターンをより明確に例示する上で役に立ちます。フルの1バイトを送信することができない1文字と2文字の両方のサブドメインが過多になっていることに加え、使用される文字にこうした制限があるため、これはDNSトネリングに使用されないことは明確です。また、多くの様々なIPアドレスにわたるリクエストでの同様のこのレベルは、何かが連動していることをほのめかしています。

その後、使用されたドメインのリストは別のCloudmarkの調査で得られたものと合致していることが分かりました。このドメインのセットは管理ネームサーバへの攻撃に使用されていました。連携したコンピュータのグループは、権威ネームサーバに対してより効果的なリソース消耗攻撃を仕掛けるため独特なサブドメインでのネームサーバキャッシングを迂回していました。

アルゴリズムのサイクルによって、多くの独特なサブドメイン通って素早く循環することにより、このボンネットは各リクエストが権限ネームサーバからの検索を必要するようにDNSレスポンスのキャッシングを破壊しました。DNSインフラのこの悪意のある過負荷により、ネームサーバのパフォーマンスが下がり始めます。管理サーバへの検索は反応がなくなり、そのため、一般的なインターネットサービスに障害を発生させます。

Cloudmark 2014年度第3四半期セキュリティ脅威レポート (5.6MB)

トップに戻る

Cloudmark 2014年度第3四半期セキュリティ脅威レポート (5.6MB)

Cloudmarkは、既知の攻撃や将来の攻撃に対するインテリジェントな防護を実現し、脅威対策を先導する信頼される業界大手として、全世界の受信トレイの12%を大規模な標的型Eメール攻撃の脅威から防護しています。

Cloudmark は、10年余にわたる世界最大のメッセージング環境の保護経験を持つ会社です。この経験を基にCloudmark だけが、10億人の加入者からのグローバル脅威情報と各地の行動状況の追跡を結び付け、金銭的損失に加えブランドやレピュテーションの棄損につながるデータの窃盗やセキュリティの違反に対する即時保護や予測防護を行っています。

Cloudmarkは、Verizon、Swisscom、Comcast、CoxおよびNTTを含む120社を超えるティア1のサービスプロバイダのほか、数万の企業を防護しています。

サイトマップ  •  プライバシーポリシー  •  ©2002–2019 Cloudmark, Inc.