Cloudmark is now part of Proofpoint. Learn More

About Proofpoint

2014年第2四半期Cloudmark世界のメッセージング脅威レポート2014年4月-6月

英国のスパマーに対する攻撃

英国の規制当局である特定個人情報保護委員会(ICO)は、モバイルスパムの問題に歯止めをかけ用とs、今四半期に大きく動き出しました。Cloudmarkが提供するGSMAスパムレポーティングサービス(SRS)のインテリジェンスを活用し、ICOの担当官はウルバーハンプトンのSMSスパマーの事業に攻撃を行うことができました。5月22日に、担当官はスパマーに関係したオフィスと住居の両方を検索し、コンピュータ機器と書類を差し押さえました。差し押さえた数百のSIMカードから、ICOは、このSIMファームが35万から100万以上のスパムテキストメッセージの首謀者であると推測していました。これらの種類のSIMファームは、スパマーが1秒に数百のSMSを瞬時に送信することができる32枚のSIMカードの融通できる大規模のデバイスを展開しています。

「これは、当社とお客様のモバイルネットワークオペレーターにメッセージを報告をするのがいかに重要なのかということを示しています。当社は7726のシステムを通して得たこのレポートが無ければ、この攻撃を実行することができませんでした。」-ICO強化マネージャー・Andy Curry氏

以下に示すのは英国における報告されたSMSスパムの7日間移動平均のグラフです。攻撃を受けて若干の増加がありました。当社は、これは、襲撃によってSRSが知られシステムへの参加増加を引き起こしているからだと確信しています。しかし、レポートの7日間の平均数はその時、ICOの攻撃の日の数よりも少ない28%に落ちました。攻撃に続く4週間の間、SRSはその前月よりも17%少ないスパムレポートを受けました。

残念ながら、SMSはスパマーと悪意のある攻撃者の両者にとって魅力的な媒体です。1つのオペレーションがが停止した時に他がすぐにそれを代替します、法の執行は、これらのオペレーションが続々と登場するのと同じスピードで対応するには整備が不十分です。ICOの攻撃が始まり、レベルは減少してきましたが、今四半期末に上昇し始めたようです。スパマーが、広告を配信するために外部のグループに雇用されてたとしたら、恐らく、外部のグループは新たなプロバイダを見つけたのでしょう。

3か月間にわたり、英国におけるいくつかの種類のSMSスパムが数量でピークとなりました。この変化の最も明白なことは、テキストメッセージで広められた事故補償オファーが5月に— 50パーセント以上 —激減したことです。しかし、このカテゴリーの数量が2週間前に落ち込んでおり、それはICOの対策で引き起こされたものではなかったようです。他の種類は平均数量で若干落ち込む一方、保険見積りオファーのカテゴリーの1つは完全に消えてしまったようです。

米国も今四半期はSMSスパムの大きなブレがありましたが、別の方向でした。前四半期で最も一般的であったフィッシングの企ては3分の1に減りましたが、偽のデザイナー商品の広告が毎月の米国のレポートのそのシェアのほぼ3倍に増えました。

フロリダのジャンク問題:クルーズスパム

何年もの間、米国の南フロリダの一部地域で、「中古車買い取ります!」と叫ばんばかりのテキストメッセージがモバイル端末を襲っていました。同地域内部から送られたこれらのメッセージは、それだけで、同地域を北米最大のスパムメール発生源とするのに十分でした。その後、スパマーに対する法的手続きが取られたことを受け、フロリダを拠点としたこのスパム問題は昨年11月に沈静化しました。

偶然にも、毎年春に出現する本命のスパムが再び出現し、全国の電話に影響を与えており、その数は記録的なものとなっています。送信元は、またしても南フロリダです。新たに氾濫を起こしているのは、実際には古くてよく知られた形のスパムで、「無料の」クルージングを案内するスパムです。しかしながら、今年の春は、無料クルーズを利用したこれらのスパムが莫大な量に上ったため、同カテゴリーを米国全土で第2位に押し上げる結果となりました。このクルーズスパムのキャンペーンは、「無料プレゼント型スパム(Win Free Stuff Spam)」カテゴリーの70%を占め、第2四半期に米国で報告されたSMS全体の18%強を占めています。

その前の「中古車」スパムと同様、これらの迷惑メッセージは、ほぼ全てがフロリダ州内から送信されたものでした。無料クルーズを謳うSMSメッセージの全体の88%以上が、フロリダ州の様々な市外局番を送信元としており、特にマイアミ地域に最も多く集中していました。これらのオファーを宣伝しているのは、Caribbean Cruise Line社の可能性があります。ただし、この「クルーズ」スパムで目的地とされているグランド・バハマ島に運航する実際のクルーズ船を運営しているのは、非常によく似た名前のCelebration Cruise Line社です。

しかし、人生において無料のものなど存在しません。被害者達は、「無料」クルーズへの参加資格を得る前にタイム・シェアのオファーを何時間も聞かされ、これによりCaribbean Cruise Line社は巧妙に利益を上げています。このタイム・シェアの売り込みの試練の後、クルーズが必ずしも無料ではないことが明かされます。多くの被害者達が、様々な理由を付けて無数の追加料金を請求されたと報告しています。その条件の不明確さと戦術の疑わしさが原因で、ベター・ビジネス・ビューロー(Better Business Burea)には、この会社に関する苦情が数百件届いています。

これは特に驚くことではありません。なぜなら、クルーズ船は実際に南フロリダから出発するからです。これらのメッセージの多くは、受信者に毎回違う番号に電話するよう求めるものでしたが、使用されたそれぞれの番号はほぼ常に送信者の番号と同じで、ここでもまた、送信者は南フロリダの番号を使用していました。

スパマーの採用する手段がエスカレートしていく様子を見るのは、興味深いものでした。当初は、日々報告される「クルーズ」スパムの全体の75~95%が、一つの共通のコール・トゥ・アクション(CTA)の電話番号を使用していました。通信事業者によるフィルタリングや積極的な番号ブロックの措置がスパマーの配信能力に大打撃を与えたため、スパマーがこれらの番号とメッセージを循環させる頻度はその四半期の間に劇的に上昇しました。配信がいよいよ難しくなるにつれ、送信者はCTAの番号をより派手に(そしてさらに読みにくく)偽装し始めました。最初は、番号をスペルアウトし、次にランダムな句読点やスペルミスを挿入するようになり、挙句の果てにはローマ数字まで使い始めました。

You and 1 other person are going to the Bahamas on us 813.515.1739
You just won 2 sea get-away tickets Call: eight:one:3:five:one:five:1:7:9:3
Great news, you have gain ed a Caribbean cruis,e for two, agents waiting: call: S,even Twoo Sev'en niine O>ne Four O:ne Sevenn Tw=o ninne

国プロフィール: メキシコ

弊社の四半期毎の国別レポートで特集してきた多くの国々と違い、メキシコには大規模なスパム活動は存在しないように見受けられます。メキシコ起源であることが確認されているスパムは、主にCutwailやその他のボットネットに感染したコンピューターから送信されています。実際、メキシコは、Cloudmarkがブラックリスト登録されたIPアドレス空間の割合(0.16%)が、米国(0.22%)よりも小さくなっています。ただし、メキシコのISPは、ボットネットに感染したコンピューターをコントロールするのに十分な措置を取っていません。そのため、メキシコは依然として国際的スパムの重要な発生源となっています。

メキシコを、東欧を拠点に活動しているサイバー犯罪シンジケートと比較するのは興味深いものです。ソ連邦の崩壊以来、素晴らしい教育システムと経済不況が結びついたため、多くの有能なプログラマーが職を求め、その中でも最も道徳心の低かった者達は、生活のために犯罪に手を染めることになります。メキシコでは、有能な若いプログラマー達は、H-1Bビザ取得のスポンサーになる用意がある米国企業へのアクセスが容易に準備されており、犯罪を犯しやすい少数のメキシコ人が、クレジットカード詐欺よりも麻薬の密輸の方が遥かに利益になると考えるようです。

メキシコからのスパムを最も受け取っている国は米国ですが、これはメキシコから米国に送られるメールトラフィック全体の44%に過ぎません。これに比べて、ロシアからのトラフィックの90%、アルゼンチンからのトラフィックの80%、そしてブラジルからのトラフィックの64%がスパムメールです。同様に、合法的なメールも相当量存在しています。ブラジルおよびオーストラリアも、メキシコから相当量のスパムを受け取っていますが、その構成比は遥かに低くなっています。日本や西欧はあまり振るわず、メキシコから日本に届くメールの89%、メキシコからアイスランドへ届くメールの96%がスパムメールとなっています。

メキシコの場合、Cloudmark Global Threat Networkにより検出されるアウトバウンドスパムの割合は、ISP毎にそのレベルが大きく異なっており、大よそ30~80%の範囲にあります。

状況を改善するためにできるかなり単純な事柄が、いくつか存在します。SMTPが使用しているアウトバウンドのポート、25番と587番をブロックするのは一つの方法です。また代替手段として、ISPは、ポリシーおよびコンテンツベースのスパムフィルタリングを適用する透過型のSMTPプロキシ経由で、それらのポートを通すことが可能です。将来、メキシコのISPが自らのネットワーク上にある感染したコンピューターからのスパムトラフィックを削減することに、より積極的になることを望まれます。

国別のブロックされたIPアドレス

今四半期末の時点で、米国は依然として、Cloudmarkによりブラックリスト登録されたIPアドレスが最も多い国となっています。二位はルーマニアです。ただし、中国ではIPアドレスのブロック数が劇的に増加しており、近いうちに二位の座を巡ってルーマニアと争う存在になる可能性があります。直近の3ヶ月では、中国でブロックされたIPアドレス数が70%増加したことが確認されています。

ロシアは改善を続け、ドイツは悪化し続けています。ドイツのブロック済みIPアドレス数をロシアと比較すると、ほんの四ヶ月前まではほぼ同数であったのにも関わらず、現在では二倍以上となっています。非常に典型的ですが、ほんの少数の悪者達が、問題の大半を生み出しているのです。ドイツのISPの大多数は管理が行き届いており、スパマーやボットネット感染に対する防御機能を備えています。そのため、弊社側でブロックする必要のあるIPアドレスはほんの少数となっています。ただし、3つのホスティング会社がスパミングに対する防御手段を備えておらず、ドイツでブラックリスト登録された全IPアドレスの65%が、これら3社の管理下にあります。

ブロック済みIPアドレス空間の割合に関して、ルーマニアは引き続き20%辺りをさまよっています。これはパナマを上回る数字で、パナマは10%未満に低下しています。ベラルーシでの改善傾向は続いており、現在は5%未満にまで下がっています。イランも引き続き下落傾向で、近いうちにベトナムやウクライナが4位の同国に取って代わりそうです。

ブロック済みIPアドレスの割合が高い国が他にもいくつか存在する事にも言及しておくべきで、例えばベリーズなどは13.8%となっています。しかし、これらの国のIPアドレスの総数は十分ではなく、世界のスパム事情に大きな影響を与えることはないため、弊社のレポートからは除外されています。

HeartbleedとeBayのデータ侵害を利用したスパム

HeartbleedとeBayのデータ侵害に対する世間の注目を、スパマーが罠として利用

コンピューターセキュリティがニュースの話題に上るとき、スパマーも遅れることなく、新たに発見されたバグやデータ侵害に対する世間の注目を利用して、セキュリティの状況をさらに悪化させます。第2四半期には、広く報道されたHeartbleedバグに言及するスパム攻撃が複数見られました。これらのメールを真に受けた被害者達は、バグから自分の身を守る代わりに、トロイの木馬をインストールされたり、ログイン情報を盗まれたりすることになります。同様に、eBayのデータ侵害に言及していたあるスパム攻撃は、eBayとは何の関係もなく、単純に疑わしい身辺調査サービスの売り込みを目的としていました。

「シリアより、投資の機会を探しています」というあり得ないタイトルが付いたあるメッセージは、有名なパスワード管理サービスが送信元であるとされてしています。弊社では、同一のメッセージに、「お知らせ:パスワードを変更してください」という、より合理的なタイトルが付けられていた例も確認しています。このメッセージは、Heartbleedに対する追加的な防御機能を提供するために、ユーザーに添付ファイルを実行するよう求めるものです。実際には、トロイの木馬がインストールされ、ハッカーが被害者のコンピューターを乗っ取ることが可能となります。タイトル以外では、返信先アドレスにYahoo!メールが使われていたり、文法や大文字・小文字の使い方に誤りがあったりと、メールが正当でないことを警告してくれる様々な兆候が存在します。

Heartbleedへの言及も、フィッシング攻撃(%リンク1% )や、ユーザーを有害サイト(%リンク2%)へと誘導する試みにおいて利用されました。

eBayのデータ侵害も、少なくとも一件のスパム攻撃で利用されました。それらのメッセージは、受信者が個人情報盗難の被害者で、その結果、偽の逮捕記録が作成される可能性があることを示唆していました。CTAのURLは、Instant Checkmateという身辺調査サービスにリダイレクトされていました。このビジネスは2012年から存在しますが、消費者からの苦情が数多く寄せられていました。報告によると、彼らはある個人の逮捕記録を保有しているとほのめかします。実際には、彼らが保有しているのは住所情報のみで、消費者を騙して有料サービスに登録させることを目的としています。支払いは一回きりだと信じていたのに、クレジットカードに毎月自動で課金されていることが判明したという消費者の苦情も、複数寄せられています。

一般的に、メールユーザーは世間的な注目を集めたコンピューターセキュリティ問題が発生した後は、特に注意を払う必要があります。なぜなら問題そのものだけではなく、それを悪用しようとするスパマー達がいるからです。

Cloudmark 2014年度第2四半期グローバルメッセージング脅威レポート (2.4MB)

トップに戻る

Cloudmark 2014年度第2四半期グローバルメッセージング脅威レポート (2.4MB)

Cloudmarkは、既知の攻撃や将来の攻撃に対するインテリジェントな防護を実現し、脅威対策を先導する信頼される業界大手として、全世界の受信トレイの12%を大規模な標的型Eメール攻撃の脅威から防護しています。

Cloudmark は、10年余にわたる世界最大のメッセージング環境の保護経験を持つ会社です。この経験を基にCloudmark だけが、10億人の加入者からのグローバル脅威情報と各地の行動状況の追跡を結び付け、金銭的損失に加えブランドやレピュテーションの棄損につながるデータの窃盗やセキュリティの違反に対する即時保護や予測防護を行っています。

Cloudmarkは、Verizon、Swisscom、Comcast、CoxおよびNTTを含む120社を超えるティア1のサービスプロバイダのほか、数万の企業を防護しています。

サイトマップ  •  プライバシーポリシー  •  ©2002–2019 Cloudmark, Inc.