米ウェブセンスのセキュリティ・ラボは,Webベースの脅威からユーザーを保護する「ThreatSeeker」で,スパム・メール送信者(スパマー)が米マイクロソフトのWebメール・サービス「Windows Live Mail」用アカウントを自分たちの戦術に最近取り入れたことを発見した。近ごろの攻撃を見ると,スパマーは,Windows Live Mailに登録してランダムにアカウントを作成できるボットの開発に成功した模様だ。こうして作ったアカウントは,後でさまざまな攻撃に使える。

 Windows Liveメールは,マイクロソフトのオンライン・サービス群「Windows Live」に含まれる無料Webメール・サービスだ。それまでのWebメール・サービス「MSN Hotmail」の後継として,2005年11月1日に発表された。全世界で利用可能になったのは2007年5月7日で,同年10月に全既存ユーザーの移行を完了させた。

 今回紹介するスパマーの策略には,メリットが三つあると考える。(1)マイクロソフトのドメインがブラックリストに載せられることはまずない,(2)アカウントの登録が無料で行える,(3)世界に何百万人もの利用者がいるためスパマーの追跡が困難――という3項目だ。

 スパマーがどのようにこの策略を自動実行するのか見てみよう。

 まず,ボットはLive Mailの登録ページを要求し,(通常のユーザーが求められるのと同様に)フォームの必須フィールドにランダムなデータを埋めていく。CAPTCHAの認証テストにさしかかると,表示されたイメージに該当するテキストを得るため,自前のCAPTCHA解読サービスにイメージを転送する。

CAPTCHA解読サービスに送られるイメージ情報
CAPTCHA解読サービスに送られるイメージ情報

 続いてボットは,CAPTCHAイメージの解読で得たテキストをサーバーから受け取った。

ボットが解読結果であるテキスト「89YTSJ9W」を受け取った。このテキストは,Windows Live Mailサービスの登録手続きを終えるのに必要な最後の情報である
ボットが解読結果であるテキスト「89YTSJ9W」を受け取った。このテキストは,Windows Live Mailサービスの登録手続きを終えるのに必要な最後の情報である

 当然ながら,スパマーは悪用目的で,無料の電子メール・アカウントを大量に登録する手順を既に省力化している。

大量登録手順を繰り返すボット。イメージを洗い出し,その中のテキストを解読させる処理を延々と繰り返す
大量登録手順を繰り返すボット。イメージを洗い出し,その中のテキストを解読させる処理を延々と繰り返す

 CAPTCHAの解読要求は,平均すると3回に1回は成功している。この結果,ボットの処理成功率は30~35%となる。

スパム用に作成されたアカウント
スパム用に作成されたアカウント
偽のWindows Live Mailアカウントから送られた電子メール
偽のWindows Live Mailアカウントから送られた電子メール
電子メール受信者を誘導するWebサイト
電子メール受信者を誘導するWebサイト

 これら悪意のある実行可能ファイルのMD5署名はed763fe783cbf45aa8a652964cfb180eおよびa6eb7adab36c253a13c16fa5c52b27bdとなっている。

 上記アカウントは,スパマーによって今後さまざまなソーシャル・エンジニアリング攻撃に悪用されるはずだ。さらに,マイクロソフトのインスタント・メッセージング「Windows Live Messenger」やオンライン・ストレージ「Windows Live Spaces」などその他Windows Liveブランド・サービスでもアカウントが悪用され,広範な攻撃に使われかねない。


Copyrights (C) 2007 Websense, Inc. All rights reserved.

本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,ウェブセンスの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログWebsense Security Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,Streamlined anti-CAPTCHA operations by spammers on Microsoft Windows Live Mailでお読みいただけます。