2015年第1四半期のスパムとフィッシング:銀行とバンキング型トロイの木馬

2015年7月10日

今年の5月、2015年第1四半期におけるスパムとフィッシングに関するレポートがSecurelistに公開されました。スパムは今でも、企業のIT部門の対応を必要とする厄介な問題の1つです。世界のメールトラフィックに占めるスパムの割合は現在、60%をやや下回っています。90%を超えていた数年前と比べればかなり減っていますが、それでもまだ多すぎます。ジャンクメール自体は大きな問題ではありません。メールそのものはほぼ無害だからです。ですが、そのメールにマルウェアやフィッシングメールが仕込まれていると、一気に危険が迫ってきます。

それで、四半期の状況は?

Securelistの記事では、「2014年1月、新gTLDプログラムが開始され、特定の種類のコミュニティや組織向けの新しいジェネリックトップレベルドメインを登録できるようになりました。このプログラムの一番のメリットは、組織の活動や組織のサイトのテーマとぴったり一致するドメインゾーンを組織が選択できる点です」とあります。

新gTLDプログラムがもたらす新たなビジネスチャンスは、インターネットに関わる人々から熱烈に歓迎されました。スパマーやサイバー犯罪者も、素早く反応したのは言うまでもありません。新しいドメインゾーンは、あっという間に広告スパムやフィッシングメール、悪意あるメールを大量に配信する場となりました。サイバー犯罪者は大量のスパムメールを拡散する目的でドメインを登録したり、スパムページを載せるために既存のサイトをハッキングしたりしました。さらに、これらを連係させて人々をスパムページに誘導することもありました。

こうして新しいドメインの数が劇的に増加し、ドメイン名に関係したものから、まったく関係のないものまで、ありとあらゆる種類のスパムがばら撒かれました。「.work」ドメインが住宅の維持修理や建設、設備取り付けなどのサービスを売り込むスパムを送っていたかと思えば(そもそもこうしたやり方で宣伝する企業にはあまり信頼がおけない感じもしますが)、「.science」ドメインは刑事事件専門の弁護士と各種トレーニングコースを宣伝している、という具合です。

また、.blue、.pinkのような.colorドメインもありますが、その正体は、アジアの出会い系サイトを宣伝するスパムの発信源でした。

さて、ここからが本題

先ほども書いたように、スパムがマルウェアの拡散に使用されていたり、フィッシングに「感染」していたりすると、すぐさま問題が生じます。

その点で第1四半期も例外ではありません。悪意あるファイルが添付されたスパムは山ほどありました。2015年第1四半期には、スパムを使用してマクロウイルスを配布する事例が多く見られました。マクロウイルスとは、テキストエディターやグラフィックエディター、スプレッドシートなどのデータ処理システムに組み込まれた、マクロ言語で記述されたプログラムです。想像がつくかもしれませんが、このようなケースでは、悪意ある添付ファイルはMicrosoft Office文書(.docや.xls)です。ファイルを開くとVBAスクリプトが起動され、それからバンキング型トロイの木馬などのマルウェアのダウンロードとインストールが行われます。

「悪意ある添付ファイルの大半は、金融関係の書類を装っていました。罰金、送金、未払いの請求書、納付書、注文書、苦情、電子チケットなど、通知の種類は多岐にわたります。中には、役所や商店、ホテル、航空会社など名の通った組織を騙った偽の通知もありました」(Securelistの記事)

spam_wide

同じテンプレートから作成されたメールを大量に検知したことも、一度ならずありました。送信者のアドレス、件名、メール本文中の金額だけが変えられていて、添付文書は、文字コードを誤って表示したときのようにテキストが文字化けしていました。詐欺師たちの目的は、被害者がマクロを有効にし、ウイルスを起動するよう仕向けることです。Microsoftは安全上の理由で、2007年から既定でマクロを無効にしています。犯罪者たちは利用者側の防御の手を緩めさせようとしていますが、失敗に終わってほしいものです。

Trojan-Banker.Win32.ChePro.inkは、メール経由で最も多く配信されたマルウェアであり、金融関連の機密情報を盗み出すためのトロイの木馬を送り込むダウンローダーです。この種のマルウェアの大半は、ブラジルやポルトガルの銀行を標的にしています。

JA-Spam-report_Q1-2015_20_phishing

縮小画像をクリックして図を拡大

フィッシング

2015年第1四半期にカスペルスキー製品ユーザーのコンピューターで、アンチフィッシングシステムが起動された回数は50,077,057回でした。前四半期から100万回増加しています。

スパムの総数が2014年第4四半期と比べて多少減っていることを考えると、フィッシングアラートの100万回増は爆発的な増加といえます。

Kaspersky Labの統計によると、グローバルインターネットポータル(メールサービス、検索エンジンなど)はフィッシング攻撃を受けた組織ランキングの上位をキープしており、全体の25%以上を占めています。2014年第4四半期と同様、最も多くの攻撃を受けた企業はFacebook、Google、Yahoo! でした。

金融機関(銀行、オンラインストア、電子決済システム)は最も攻撃を受け、その比率は37%を超えています。

全体的な動向

2015年第1四半期、メールトラフィックに占めたスパムの割合は59.2%で、前四半期比で6パーセントの減少です。減少の原因としては、季節的要因が考えられます。第4四半期は西側諸国のホリデーシーズンだったので、スパマーや詐欺師はそこにつけこもうとしたのでしょう。

フィッシング件数は増えています。バンキング型トロイの木馬も同じく増加傾向です。サイバー犯罪者の狙いは金銭(しかも組織が所有する金銭)という傾向が見られます。

前四半期のレポートによると、スパムの数は着実に減り続けているようです。2010年第1四半期には総メールトラフィックに占めるスパムの割合は80.5%でしたが、現在は59.2%です。これまで、第1四半期に減少し、第2四半期では増加していますが、全般的には徐々に減っています。スパムとの戦いに勝利したとは言えませんが、楽観的になれる理由はあります。明らかにアンチスパムツールの性能が向上しているからです。とはいえ、問題解決に必要なのは、スパムに対抗するための技術的手段だけではありません。スパマーやフィッシング詐欺師に騙されないためにはどうすればいいか、人々が継続的に情報を得ながら学んでいくこと – これが非常に大切です。