シマンテックは、多くの世界的に有名な大手金融機関の利用者を標的とした、最近の電子メールによるフィッシング攻撃を追跡しています。このフィッシング攻撃では、スパマーが意味のないランダムな電子メールヘッダーを使っていることが確認されました。その目的は、ウイルス対策用のメッセージフィルタを回避することにあると考えられています。7 月から確認されはじめたこのスパム攻撃の活動は、現在もまだ沈静化していません。 まず、電子メールヘッダーがどのようなものかを理解しておきましょう。あらゆる電子メールメッセージは、メッセージ本文とメッセージヘッダーの2つの部分から構成されています。ヘッダーはメッセージの封筒のようなものと考えることができ、ここには、送信者と受信者のアドレス、件名のほか、重要なトラッキング情報が含まれています。本文は実際のメッセージの内容で、ファイルが添付されている場合もあります。 最も一般的な電子メールヘッダーには、次のようなフィールドがあります。 Received: Return-Path: Sender: X-Mailer: From: Date: To: Subject: Message-ID: MIME-Version: In-Reply-To: Content-Type: Content-Transfer-Encoding: ほとんどの電子メールプログラムの場合、メッセージを開いたときにユーザーに表示されるヘッダーは、デフォルトでは「From」(差出人)、「Date」(日付)、「Subject」(件名)の各行だけですが、電子メールプログラムに設定機能がある場合には、ユーザー設定を変更してこれら以外のヘッダー行を表示することもできます。スパムメールの場合、スパマーは頻繁にデフォルトやそれ以外のヘッダーの情報を偽造します。これは、ウイルス対策用フィルタの回避を目的とする操作で、同時にスパムメッセージの送信元を追跡しにくくするためでもあります。 ところが、シマンテックが追跡している最近のフィッシング電子メール攻撃の場合は、スパマーが新しいメールヘッダーを挿入していることが確認されています。おそらく、メッセージフィルタを今まで以上に混乱させることが狙いでしょう。追加されるヘッダーはさまざまな言語でランダムに作成され、スパムメールメッセージの本文セクションに見られる古典的なテキストに類似しています。一部のヘッダーフィールドには、汚い言葉も含まれています。この新しいテキストのサンプルを以下に示します。 Alaska: North Pole and: now im on it again CACATULE: PROST !!!!!!!!!!!!!!!¬@!!!!!!!!!!!!!! TE-AM GASIT NA! F: FU[REDACTED] fanta: blue fromf: file fu[REDACTED]: golf5 incread: jiols increase: ?monney media: control !!! OR MEDIA CENTER IS :THE SAME FU[REDACTED] :::!:!:!:! TJIN A!!:::::; POZELE: PWLII:MELE !!!!!! ; <TOATALUMEACAREAMARAMAS> LISHOR ADEVARAT ! stereo: souind where: are them X_RETRADATILORRR: HOTMAIL = LOSERS X-NewYork: capitals X-Orificiul: an[REDACTED] x-senzor: remote control また、このサンプルにも見られるように、スパマーは「!」や「_」のような記号もヘッダーに挿入しています。これは、標準の電子メールヘッダー形式では使えない記号です。この攻撃の場合、電子メールはユーザーの利用している金融機関から送信されたように見えますが、実際にはフィッシングメールです。この攻撃では何種類かの亜種が確認されています。このフィッシング攻撃では、「From」(差出人)、「Subject」(件名)、「To」(宛先)の各行には以下のようなパターンもあります。 From: xxxx.bank.plc@xxxxbankplcsecurity.co.uk From: xxxx.Banking@xxxx-online-alert.co.uk Subject: [Important security message] Subject: [XXXX Banking: Online alert ! ] lukxxxxxx3ws@hotmail.co.uk To: xxxx_xxxx@openstoragelayer.com この攻撃に使われる電子メールの本文は、典型的なフィッシングメールに似ていますが、銀行のロゴが掲載されている場合もあります(スクリーンショットでは削除済み)。スパマーは、このメールがセキュリティに関する重要な通知であるして緊急性を装い、被害者となりうる受信者が電子メール中のリンクにアクセスして、必要な情報を更新または確認するように仕向けます。 hxxps://xxx.xxxx.co.uk/1/2/XXXXINTEGRATION/CAM10;jsessionid=129911E[削除済み]WQ_3RCS7Xca[削除済み]222d?IDV=xxxxxx@xxxx.com 上記のリンクはこの電子メールに出現しているもので、下記の実際のフィッシングリンクを隠蔽しています。このリンクからユーザーを誘導し、ユーザーの個人情報を取得しようとするのです。 hxxp://xxx.feminoteka.pl/downloads/www-xxxx/co.uk/1-2/xxxxintegration/index.htm この攻撃は、他国で配布されている IP から送信されていましたが、調べた IP は現在、既知のスパムボットネットワークのどれにも属していないことから、これが危殆化したコンピュータの IP であるとすれば、さらに標的型攻撃のために利用される恐れがあります。シマンテックのメールセキュリティ製品(Brightmail テクノロジ搭載)を使えば、今回のスパムを含むフィッシング電子メール攻撃は遮断されますので、ご安心ください。 ---------------------------------- 備考: コンテンツの寄稿者である Mayur Kulkarni 氏に感謝します。