最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆2009年のネットカフェ犯罪情勢~警察庁の資料から(2010/05/24) | メイン | ◆ネット時代の一般市民の言論を守る「日本ペンネット」発足(2010/05/26) »

2010/05/25

◆まだ続く「怪しい薬局キャンペーン」~シマンテックのスパムレポートにも異変(2010/05/25)

 本通信では「怪しい薬局キャンペーン」(8080系改ざんサイト経由で、怪しい薬局サイトへと誘導する迷惑メール)についてお伝えしてきたが、この怪しいキャンペーンは4月上旬から絶え間なく続いている。このキャンペーンで世界中にばらまかれれている迷惑メールは、相当な数にのぼるようで、セキュリティベンダーのスパムレポートにも異変が生じている。

 シマンテックは現地時間12日、4月の迷惑メールの動向をまとめた「May 2010 State of Spam & Phishing Report」公表した。誘導先のURLに、ドメイン名ではなくIPアドレスを記述した迷惑メールが、前月比3倍に急増しているという。

 一般的なURLには、私たちにとって扱いやすい文字列のドメイン名が用いられる。一方のIPアドレスは、実際の通信に用いる特定のサーバーなどに割り当てられた番号で、「192.168.1.1」のようにドットで4分割した10進数で記述することが多い(他には頭に0xを付けた16進表記や、0を付けた8新表記、4分割せず単一の数値で表したロングIPアドレスも用いられる)。

 同社が観測したこのタイプの迷惑メールは、リンク先のサイトでスクリプトを実行し、別のサイトへと移動するようになっているという。レポートには、その過程が詳しく述べられているが、リンクの記載方法、リンク先の「英単語+2桁の数字.html」というファイル名、リダイレクト用のスクリプト、最終的な目的地がED薬を扱う薬局サイトで8080番ポートに接続する点と、どれもが8080系の改ざんサイトを使った薬局キャンペーンと一致しており、これが当該キャンペーンの迷惑メールの話であることがわかる。

 レポートに掲載されている薬局サイトの画像が、ネットセキュリティニュースで採り上げてきた「Canadian Pharmacy」ではなく「Pharmacy Express」になっている点が異なるが、レポートの掲載画像は8080系の攻撃サイトで運営された薬局サイトではなく、中国のサーバに設置されたサイトだからだ。4月には、一時的に何回かこのようなリダイレクト先が使用された。ちなみに現在の薬局サイトは、8080系の攻撃サイトとは別のサーバー5基で構成されており、8080番ポートではなく、通常の80番ポートに接続するようになっている(「●●●.com:8080/」ではなく「●●●.com/」)

■改ざんサイトに中継させるワケ

 どうしてスパマーは、メールに目的地のURLを直接記載せず、別のサイトを経由するという回りくどい方法をとるのだろうか。同社はその理由を、「迷惑メールフィルターをすり抜けるため」と分析している。
 迷惑メールのブロックに使われる基本的な技術の1つが、リンク先のURLに基づいたフィルタリングである。メールに目的地を直接記載すると、評判の悪いサイトなら即座に、そうでないサイトでもじきに迷惑メールと判定され、はじかれてしまうことになる。一般のWebサイトのURLならば、最終的な目的地を知られずに、フィルターをすり抜けられる可能性が高くなるわけだ。
 スパマーにとっては都合のよい仕掛けだが、悪用されるサイトにとっては、たまったものではない。表ではウイルスを配布し、裏では迷惑メールのリンク先では、悪質なサイトに向かって一直線に駒を進めているようなものだ。

■IPアドレスの記述が増えたワケ

 スパマーにとっては、IPアドレスで記述したURLは鬼門の1つである。そのようなリンクがメールに入っているだけで、迷惑メールと判定されてしまう可能性が急激に高まるからだ。それにもかかわらず、8080系の薬局キャンペーンでは、1割強のURLがIPアドレスで記述されている。迷惑メールフィルターをすり抜けるために、せっかく一般のWebサイトに中継させているのに、どうしてそんなバカな真似をするのだろうか。
 IPアドレスで記述されたURLを編集部で調査したところ、一部テスト用のサーバーと見られるものもあったが、多くはドメイン名やサブドメイン名で運営されている、普通のWebサイトであることが分かった。Webサイトには、更新時にWebのアクセスに使うアドレスとは別のアドレスを使用するところがある。たとえば共有サーバーによく見られるのが「サーバー名/~ユーザー名/」というパターンだが、中には「IPアドレス/~ユーザー名/」というケースもあるようだ。
 IPアドレスで記述されたURLの9割以上は、この「IPアドレス/~ユーザー名/」というパターンであり、このようなサイトの管理パソコンから盗み取ったFTP情報をそのまま使用すると、結果としてURLがIPアドレスでの記述になってしまうわけだ。
 8080系の薬局キャンペーンに悪用されているサイトは、改ざんサイトの中の一部のようで、それも特定のプロバイダーのものが集中的に使われる傾向にある。どのような基準でサーバーが選択されているのかは分からないが、IPアドレスで更新するプロバイダーを相当数含んだ状態で、大々的なキャンペーンを展開したため、シマンテックの月例レポートに取り上げられるほどの増加につながったのではないかと編集部ではみている。

(2010/05/25 ネットセキュリティニュース)

【関連URL】
・Spam and Phishing Landscape: May 2010[英文](Symantec)
http://www.symantec.com/connect/ja/blogs/spam-and-phishing-landscape-may-2010
・May 2010 State of Spam & Phishing Report[PDF][英文](Symantec)
http://eval.symantec.com/mktginfo/enterprise/other_resources/b-state_of_spam_and_phishing_report_05-2010.en-us.pdf

【関連記事:ネットセキュリティニュース】
・Twitterサポート部門やAmazonをかたる怪しい薬局キャンペーンにご用心(2010/05/10)
・サイト改ざんに新展開:8080系改ざんサイトが怪しい薬局キャンペーンを支援(2010/04/28)

投稿情報: 08:42 |

|