PR

 スパム・メールのモニタリングの結果,PDFスパムがピークに達した8月中旬以降,同スパムの割合は減少傾向に向かっている(図1)。米国でPDFスパムの割合がピークに達したのは今年8月の第2週。英ソフォスによると,これが8月末にはほとんど確認されなくなったという(関連記事)。

図1●PDFスパムがスパム・メール全体に占める割合の推移
図1●PDFスパムがスパム・メール全体に占める割合の推移
[画像のクリックで拡大表示]

 しかし,これでPDFスパムがなくなったと判断するわけにはいかない。実際,PDFスパムの前に流行したイメージ・スパムは割合こそ減ったものの,今でも配信されている。前回も述べたように,Excel,ZIPなど“コンテナ”の形を変えた亜種スパムは毎月のように登場しており,コンテナ・スパムが多様化すると予想される。

 元々,スパム・メールが犯罪に使われるようになった初期の段階では,アカウント・ハッキングやワンクリック詐欺などを目的としたサイト誘導型のメールが目立っていた。しかし最近では,”Pump and Dump”と呼ばれるスパムが大量送信されるようになっている。コンテナ・スパムはその手口としてよく使われている。実際,米国では今年3月,証券取引委員会が”Pump and Dump”を理由に35銘柄の取引を停止しており,大きな社会問題となった。

写真1●株価操作を狙うスパム・メールが急増している
写真1●株価操作を狙うスパム・メールが急増している
[画像のクリックで拡大表示]
 コンテナ・スパムがこれほどの勢いで進化する背景には,スパム送信者の目的が大きく影響している。PDFスパムの最終的な目的は,株価を操作することにある。個人投資家に偽のインサイダー情報を伝えて株取引を促し,株価を変動させようとする(写真1)。いわば,スパム・メールを使って実現する「風説の流布」である。株価が変動したところで自身で株を売買すれば,スパム送信者,あるいはスパムの依頼者は巨額の利益を得ることができる。

 受信者を特定Webサイトにアクセスさせる必要があるサイト誘導型は,ユーザーの警戒心がはたらくと効果がない。これに対してPump and Dumpでは,アカウント・ハッキングやワンクリック詐欺のようにメール受信者に何らかのアクションを起こさせる必要はなく,送ったメッセージを個人投資家の目に触れさせ,その内容を脳裏に擦り込むことさえできればいい。株に関連しそうな情報は,個人投資家にとっては記憶にとどめやすい。メールに不審さを感じたとしても,その真偽を確認する手段がなければ,実際に株を売買する投資家が出てきてもおかしくはない。このためスパム送信者にとっては,とにかくメッセージをユーザーの手元に届けることが至上命題となる。

 一方で,ベンダーによる対策も着実に進んでいる。メール・フィルタリング・システムのフィルタリング機能強化である。例えばイメージ・スパムが流行したあと,各ベンダーは一斉に,それぞれの製品にOCRや画像解析機能を搭載した。当然,スパム送信者はこのフィルタをすり抜ける手段を考えなければならない。こうして登場したのがPDFスパムである。

 ほかのセキュリティ技術でも同じだが,攻撃と防御は常にいたちごっこの関係にある。コンテナ・スパムでも,新手のコンテナが登場すれば,ベンダーはその対策を練る。こうした攻防が,次々に新手のコンテナ・スパムを生み出す結果につながっていると言える。

 ただ,スパム・フィルタをすり抜ける手口は一通りではない。スパム送信者はコンテナを使い分けるだけでなく,あの手この手ですり抜けを狙ってくる。次回は,PDFスパムを例に具体的な手口を紹介する。


筆者紹介
高橋 哲也(たかはし・てつや)
 日本プルーフポイント テクニカルセールス/サービスマネージャー。専門分野はネットワークおよびセキュリティ。野村総合研究所と共同で,統合型メール・セキュリティ基盤ソリューション「Proofpoint」を提供している。
南 剛志(みなみ・つよし)
 野村総合研究所 上級システムエンジニア。専門分野はセキュリティ。Webコンテンツ保護やワンタイムパスワードなど、企業のセキュリティ基盤構築を手掛ける。