メール・セキュリティ・ソリューションを提供しているベンダーの多くは,スパム・メールの動向やスパム送信者の手口を研究するため,ハニーポット(スパム収集用おとりアドレス)を構築している。実際にハニーポットで受信したコンテナ・スパムを紹介しよう。ユーザーは,それぞれの手口を理解した上で対策を講じれば,少しでもスパム・メールの被害を減らすことができる。

 まずは,サイト誘導型コンテナ・スパムのサンプルである(写真1)。メール本文に日常的な文章が記述され,PDFファイルが添付されている。PDFを開くとスパム目的の文章とWebサイトのURLが記述されている(写真2)。メール本文に日常的な文章を記述するのは,メール本文を解析するスパム・フィルタを回避するためだ。

写真1●サイト誘導型のスパム・メールの例   写真2●サイト誘導型のスパム・メールに添付されたPDFファイルの例
写真1●サイト誘導型のスパム・メールの例
[画像のクリックで拡大表示]		   写真2●サイト誘導型のスパム・メールに添付されたPDFファイルの例
[画像のクリックで拡大表示]

 サイト誘導型では,進化形と言えそうなスパム・メールが見付かっている。Googleなど検索サイトを悪用したものだ。通常ではスパム・フィルタにブロックされてしまうURLを送るために,検索要求のURLを使う。誘導したいサイトが検索結果の最上位に表示されるような検索要求を考え,そのGoogle検索用リンク(HTTP GETメソッドのストリングに検索条件をパラメータとして加えたもの)を送付するのである。送付するURLではブロックされず,フィルタをすり抜ける。

写真3●株価操作型のスパム・メールでは本文は空白であることが多い
写真3●株価操作型のスパム・メールでは本文は空白であることが多い
[画像のクリックで拡大表示]
 そして,現在主流となりつつあるPump and DumpのPDFスパムのサンプルである (写真3)。既にスパム・フィルタを導入している企業は少なくない。しかし,それらの多くが「添付ファイルのペイロードに含まれる情報を解析の対象としていない」のが実情である。スパム送信者はそこに注目し,フィルタをすり抜ける手段を考えているのである。

 コンテナ・スパムは,(1)比較的ウィルスの危険性が少ないと”思われている”ファイル,(2) 汎用的なアプリケーションで簡単に開けるファイルを添付するという特徴がある。PDFファイルなら,これらの条件を十分満たす。これらは,受信者にスパムを信用させ,かつ内容を参照させるための社会工学的なトリックといえる。

写真4●株価操作型のスパム・メールに添付されているPDFファイルの内容
写真4●株価操作型のスパム・メールに添付されているPDFファイルの内容
[画像のクリックで拡大表示]
 内容を具体的に見てみよう。メール本文は空白である。そして添付されたPDFファイル名は“Invoice(請求書)”というビジネスでも使用頻度の高いもので,受信者に「開いても問題ない」と思わせる効果がある。このPDFファイルは8ページで構成され,最初に表示される1ページ目に偽りの株価情報が記述されている(写真4)。こちらも,スパム・フィルタを欺くために2~8ページには日常的な文章が付加される。

 ほかに,ExcelやZip型コンテナ・スパムの出現が確認されている。また,米国ではウイルス対策技術の進化により,マクロウイルスの危険性を軽視する傾向があるため,Microsoft Office関連アプリケーションを用いたコンテナ・スパムが脅威となるという見方もある。


筆者紹介
高橋 哲也(たかはし・てつや)
 日本プルーフポイント テクニカルセールス/サービスマネージャー。専門分野はネットワークおよびセキュリティ。野村総合研究所と共同で,統合型メール・セキュリティ基盤ソリューション「Proofpoint」を提供している。
南 剛志(みなみ・つよし)
 野村総合研究所 上級システムエンジニア。専門分野はセキュリティ。Webコンテンツ保護やワンタイムパスワードなど、企業のセキュリティ基盤構築を手掛ける。