スパム送信で特に頻繁に使われる手口のひとつが、「かんじきスパム」とも呼ばれる一撃離脱タイプのスパムです。スパム対策フィルタをできるだけ多くすり抜けられるように、多数の IP アドレスとドメインを用意して、スパムを大量送信するとすぐに新しい IP アドレスとドメインに移行するという手法に特徴があります。一度使われた IP アドレスとドメインが再利用されることは、ほとんどありません。
一部のスパマーは、スパム活動を通じて似たようなパターンを繰り返す傾向があります。今回のブログでは、私が「差出人かんじきスパム(From-Name snowshoe)」と名付けた特定のかんじきスパム活動についてお伝えします。メッセージには、スパム活動を同じカテゴリに分類できる特徴がいろいろありますが、最も顕著な特徴は、「差出人」フィールドに使われているすべての電子メールアドレスで、ユーザー名として実名が使われていることです。
- 差出人: [削除済み] <Leila.Day@[削除済み]>
- 差出人: [削除済み] <CharlotteTate@[削除済み]>
- 差出人: [削除済み] <Diana.Pope@[削除済み]>
- 差出人: [削除済み] <SamuelLambert@[削除済み]>
- 差出人: [削除済み] <Jackson.Garza@[削除済み]>
- 差出人: [削除済み] <JohnathanParsons@[削除済み]>
- 差出人: [削除済み] <EliasTaylor@[削除済み]>
これが「差出人かんじきスパム」と名付けた所以で、興味深い特徴が 2 つあります。1 つ目の特徴は送信のタイミングであり、数カ月間に及ぶこのスパム活動では平日にしかメッセージが送信されていないことが確認されています。
図 1. 2013 年 10 月 16 日以降に確認された 5,900 万通を超えるスパムメッセージ
このタイミングを詳しく調べたところ、このスパムが送信されるのは太平洋標準時の午前 6 時から午後 7 時までに限られていることがわかりました。一定の時間帯に、しかも平日だけに送信されているという事実から、この活動は業務の一環として行われていると考えられます。
2 つ目の特徴は、このスパムの実行に使われた IP アドレスにあります。前述したように、かんじきスパムは同じ IP アドレスを再利用しないのが一般的ですが、送信者の IP アドレスを解析したところ、このスパムメッセージは同じ企業が所有する複数の IP アドレスから送信されていたことがわかりました。所有者は、ペンシルベニア州スクラントンに本拠を置く「Network Operations Center」という企業で、スパムを送信することで広く知られています。
1 月になると、同じタイプのスパムメッセージが、別の企業の所有する IP アドレスから送信され始めました。そのひとつが「Nth Air, Inc.」です。
図 2. Nth Air, Inc など他の企業が所有する IP アドレスから送信されたスパムのサンプル
図 3. Nth Air, Inc の IP アドレスを示すメールヘッダーの一部
「Network Operations Center spam」というキーワードをオンラインで検索すると、スパムについて論じられている検索結果が多く見つかりますが、Nth Air, Inc について同様に検索してもそれほど多くの結果は見つかりません。実際には、プレスリリースにも書かれているとおり、Nth Air, Inc はかつて正規の WiMAX プロバイダだったようです。同社について報じた最近のニュースも見つからなかったため、私はこの企業はもう存在しないのではないかと考えました。一方で、ARIN の記録には、Nth Air, Inc の本拠地がカリフォルニア州サンノゼであると書かれているので、同社について詳しい情報が得られることを期待してオフィスを訪ねてみることにしました。
図 4. Nth Air, Inc の所在地とされる住所にある建物を訪問
ARIN に載っている一室を訪ねてみましたが、別の会社に使われていました。
図 5. 70 号室の所有者は現在、Sutherland Global Services となっている
掲載されている番号に電話を掛けても通じません。netops@nthair.com 宛てに電子メールを送信しても、「the recipient does not exist(該当する受信者は存在しません)」というエラーになります。どうにもお手上げです。
「Nth Air, Inc」への訪問が失敗に終わったので、今度は「LiteUp, Inc」を訪ねてみました。
図 6. LiteUp, Inc の IP アドレスから送信されたスパムのサンプル
図 7. LiteUp, Inc の IP アドレスを示すメールヘッダーの一部
ARIN のリストによると、LiteUp, Inc の所在地はカリフォルニア州バークレーです。該当する住所に足を運びましたが、そこに LiteUp, Inc は見つかりませんでした。
図 8. LiteUp, Inc の所在地として掲載されている住所にあったのはオートバイショップ
この 2 つの事例では、少なくとも ARIN の記録によれば、実在しない会社が所有する IP アドレスがスパマーに利用されていたということになります。
今回はスパマーにも、またスパマーを支援している可能性のある人物にも会えませんでしたが、このようなスパムメッセージがエンドユーザーの受信ボックスに届かないように、シマンテックは厳重な警戒を続けています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。