最近の調査により、マイクロブログサイト「Twitter」が、ソーシャル・ネットワーキング・サービス(SNS)の中でも人気を高め続けていることが明らかになった。Twitterは現在、毎月の平均ユニークビジター数が1億8000万人にのぼり、日々新たに30万人の利用者を獲得している。この新たな調査結果を見ると、サイバー犯罪者がTwitterに注目しているのも当然といえる。

うり二つのスパムメール、しかし…

 TrendLabs(トレンドラボ)のエンジニアは、同一に見えるものの、実際は異なる2通のスパムメールを確認した。この二つのスパムメールは、どちらともTwitterのサポートを装っている。図1の事例の場合、メール内にはリンクが記載されており、誤ってこのリンクをクリックした受信者は、個人情報を要求するフィッシングサイトに誘導される。一方、図2の事例の場合、図1の事例と同様に、メール内にリンクを含んでいるが、受信者が誤ってこのリンクをクリックすると、コンピュータ上に不正なファイルがダウンロードされる。

図1●フィッシングサイトに導くTwitterを装ったスパムメール
[画像のクリックで拡大表示]
図2●不正プログラムのダウンロードに導くTwitterを装ったスパムメール
[画像のクリックで拡大表示]

Twitterを装ったスパムメールの活動が明らかに

 上記のスパムメールのスクリーンショットから分かるように、Twitterを装った最近のスパムメールは外見がTwitterからの通知メールにそっくりであるため、受信者は正規のメールだと思い込んで、簡単に被害に遭ってしまったと推測される。しかし、このようなスパムメールも、詳細を注意深く確認することで、記載内容の真偽を見抜くことは可能だ。今回のスパム活動の場合、以下の要素からスパムメールであることを判別できると同時に、脅威自体がどれだけ「洗練」されたものかを知ることができる。

・メールの件名:「New」および「FREE」!(無料)といった言葉(キーワード)を用いた件名で受信者の興味を引き、メールを開かせる方法は、スパム活動の常とう手段となっている。今回の活動の裏に潜むスパム送信者も、例外なく「Twitter」および「Undelivered Message」といったキーワードを含む件名で受信者の興味を引く手口を用いている。しかし件名全体をよく見ると、この件名は実際には何も意味していないことが分かる。サイバー犯罪者はSEOポイズニングの手法として、インターネットユーザーが関心を持つキーワードを用い、不正なリンクをクリックするように操作するが、スパム活動でも同様の手口が用いられる。よく耳にする言葉やその時話題になっている言葉をキーワードとして用い、人々の注意を引くのである。

・表記されているURLと実際のURL:スパムメールに表記されているURLにマウスのポインターを置き、メールの左下に表示される実際のURLを確認すると、表記されているURLと表示されるURLが異なっていることが分かる。このように不正サイトのURLを隠し、受信者に疑われないようにする手口は、以前からスパム送信者に用いられており、すでに古い部類に入るだろう。長いURLを短くするサービス「TinyURL」による短縮URLなどは、以前からの手口の「更新版」といえる。

 正規のメールの中からスパムを見分ける最善の方法は、普段からよく利用したり、配信購読をしたりしているサイトやサービスに精通しておくことだ。こうすることで、不自然なメールにも敏感になることができる。

図3●Twitterを装ったスパムメールによる感染フロー
図3●Twitterを装ったスパムメールによる感染フロー