最近シマンテックは、医薬品や出会い系のスパムメッセージに .eu ドメインが使われる例が増えていることを確認しています。これまでに確認されたスパムメールで多数を占めているのはドイツ語です。固有のパターンと特徴から、この攻撃には「一撃離脱」の手法が使われていることがわかります。
「一撃離脱」攻撃では、IP アドレスとドメインを短時間で切り替えて使います。大多数(80%)のスパム攻撃と異なり、一撃離脱メッセージは危殆化したコンピュータのボットネットから送信されるのではなく、以前の評価が不明なメールサーバーの IP アドレスから送信されます。
最近 Symantec Global Intelligence Network から報告されたデータでは、.eu ドメインを使ったスパムメールの件数は、6 月の第 1 週と第 3 週に微増していました。また、.eu ドメインを使いドイツ語で書かれたスパムメールの件数は、6 月の最終週に顕著に増えています。
メッセージを詳しく調べると、その大部分に類似の、主としてドイツ語の件名が使われていることがわかります。スパムメールの件名は受信者の姓名で始まりますが、これは受信者のメール情報から取得されたと考えられます。受信者の名前は、たいてい小文字で書かれています。姓名の後にカンマをはさんで出会い系や医薬品関連、または受信ボックスのメッセージの確認を指示する一般的な注意書きなどの文が続きます。
これまで確認されたところでは、以下のような件名が使われています。
スパムメール内の URL には、"sex" または "porn" という単語が含まれているほか、複数のダッシュが使われていることもこの URL の特徴です。
スパムメッセージで確認されているドメインは以下のとおりです。
ドメインはいずれもフランスの同じ会社で登録されており、登録者のファーストネームは Evgeny です。Evgeny という名前は東欧、具体的にはウクライナとロシアでごく一般的であり、スパマーがそれらの国に拠点を置いていることがうかがえます。
スパムフィルタをすり抜けるために、スパマーはメールの最後に List-Unsubscribe ヘッダーを追加して、正規のニュースレターに偽装しようとしている点に注意してください。このヘッダーは、正規のメール発行者やマーケティング会社から送信される電子メールで一般的に使われています。
シマンテックは、引き続きこの「一撃離脱」攻撃を監視し、お客様にこのようなスパムメッセージが届かないように追加のフィルタを作成する予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。