 |
May 15,2008 posted by Sumeet Prasad,Security Researcher
米ウェブセンスのセキュリティ・ラボは,Webベースの脅威からユーザーを守る「Threatseeker」を使い,CAPTCHA解読攻撃から始まるスパム送信者(スパマー)の戦略行動を監視し続けている。このCAPTCHA解読は,米マイクロソフトのWebメール・サービス「Windows Live Mail」「同Live Hotmail」,米グーグルの同「Gmail」およびブログ・サービス「Blogger」,および米ヤフーのWebメール・サービス「Yahoo! Mail」を対象としたものだ(米InformationWeek誌の掲載記事)。ウェブセンスはこれらのスパマー・アカウントが,スパマーの高度な戦略のうちのいくつかのステージに相当することを観測した。
今回のような戦略が登場したことで,CAPTCHA解読攻撃が出現した当時のウェブセンスの予想が正確であったことが実証された。スパマーはCAPTCHA解読で取得したアカウントを悪用して,高度な新手法を含むランダムな攻撃を仕掛けている。
スパマーは今回の攻撃で,CAPTCHA解読による電子メール・アカウントの取得にとどまらず,電子メールの大規模配信,パソコンへの大量感染,情報の不正入手を行う。さらにランダムかつ複雑なネットワークを利用して製品やサービスを宣伝し,インターネットに出回るスパムの寿命を延ばして,スパムの追跡を困難なものにしようとしている。
攻撃を成功させるため,スパマーは複数の戦略を組み合わせ,階層化して攻撃を仕掛けていた。この攻撃方法は,以下の3段階に分けられる。
第1段階:CAPTCHA解読で取得したアカウントによるメール大量配信
マイクロソフトのWindows Live Mail/Windows Live Hotmail,グーグルのGmail,ヤフーのYahoo! MailでCAPTCHAを解読してアカウントを作成する戦略は,一定の成功を収めている。スパマーは,これらの評判のよいサービス・プロバイダのアカウントからスパムを仕掛けることで,レピュテーション・ベースの検知に重きを置くスパム・フィルタをくぐり抜けられる。
 図1 Windows Live Mail/Windows Live Hotmailを利用したスパム [画像のクリックで拡大表示] |
 図2 Gmailを利用したスパム [画像のクリックで拡大表示] |
 図3 Yahoo! Mailを利用したスパム [画像のクリックで拡大表示] |
