勃起不全薬の販売に手を染めているスパム・メール送信者(スパマー)が最近になって,難読化した画像をメールに添付するという手口を再び使うようになり,メール利用者の脅威として再浮上してきた。JPEG形式の画像ファイルを添付するスパマーは,性的な内容を匂わせる目立つフレーズ(ミススペル入り)による規則性のないサブジェクト,最小限のメール本文,締めくくりの難読化した添付画像など,あらゆる手段を駆使してスパム・フィルタを回避しようとする。
これまでに見つけたこの種のメール本文をいくつか挙げておこう。
・Canadiian policce ads pulled from gang Web sites
・Chocoholic squtirrel steals treatts from Finnish shop
・Perpetual Student Wants Onnne More Year
・The animal that stows its tongue inn its rib cage
・New Orleans R&B star begins posthumous mayoral bid
流行しているこれらのスパムの興味深い点は,画像の背景に幾何学的な図形と模様を配置することで難読化していることだ。我々がかつて出会った例では,色つきブロックによる背景,変形文字,複数の色で構成された不鮮明な背景が使われていた。最近のスパマーは,これらの手法をすべて組み合わせている。
以下に紹介する例は,2009年に画像スパムが復活してから我々が追跡していたものである。下の方の画像になるほど,より複雑な難読化が施されていることが分かるはずだ。最初の画像は2009年4月の終わりに出回り始めたもので,最後は2009年6月中旬の画像である。
下に掲載した画像のうち,右側は背景に格子状の線が使われている。なお,お見せしたくないテキストは黒塗りしてある。
当ブログの6月15日付け記事で,「.rtf」ファイル付きのスパムが急増したことを取り上げた。これは.rtfファイルをダウンロードし,広告対象のあるスパム・ドメインを表示するものだった。我々は2009年6月12日,このスパム攻撃の新たなタイプを見つけた。スパマーは,異なる色とランダムな線の入ったGIF画像をメールに添付している。
スパマーは24時間後の6月13日になると画像を一変させ,広告しているWebサイトと結びつく「男性の解剖学的構造」に似せたマンガ的な二つの画像を採用することで,攻撃の手を強めた。
知らない人物や予期していないところからメールが届いたら,例外なく用心することを忘れてはいけない。さらに,信じられないほど魅力的な商品を売ろうとするメッセージは大抵,予想通り信用できない。
補足:当ブログ記事の執筆に協力してくれたJoe Krug氏,Niall O'Reilly氏,Sammy Chu氏に感謝する。
Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Image Spam Deja Vu」でお読みいただけます。
