URL に .pw を含むスパムメッセージの増加について、4 月末にこのブログでご報告しましたが、それ以降、さらに頻繁に確認されるようになっています。
図 1. トップレベルドメイン(TLD)が .pw のスパムメッセージの増加
これらの攻撃の発信元について、シマンテックはその IP アドレス空間の解析を実施しました。予想どおり、大量のメールが、ある IP アドレス範囲から送信され、その後別の IP アドレス範囲から送信されていたことを確認しました。ここまでは予想の範囲でしたが、興味深い工夫も見られます。.pw を使うスパマーによって同じ物理アドレスでホストとして利用されていたのは、ネバダ州の複数の企業でした(名前は異なります)。
Global Intelligence Network で見つかったメッセージを調べたところ、URL に .pw を含むスパムメッセージの大多数は一撃離脱タイプのスパム(「かんじきスパム」とも呼ばれます)であることが判明しました。2013 年 5 月 1 日以降に確認された、URL に .pw を含むスパムの上位 25 件の件名は以下のとおりです。
シマンテックは、必要なスパム対策フィルタを作成したほか、Directi 社に連絡し、レジストラとも協力して、スパムに関連する .pw ドメインの報告と取り消しを依頼しました。レジストラとの協力は、この問題の全面的な解決につながる大きな一歩であるとシマンテックは考えています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。