スパムメールは継続して配信されており、スパムメール送信者の活動が沈静化する気配は見えない。スパムメールは、ユーザーのメールボックスの容量を圧迫するだけでなく、さらなる脅威を招き寄せる「扉」の役割も果たしている。2011年も、新年早々不正プログラムの感染をもたらすスパムメールが流行した。こうした現状から、コンピュータを安全に保ち、不正プログラムに感染しないようにするには、スパムメールへの対策が欠かせない。

スパムメール量が一時的に減少

 2010年のクリスマスの後、スパムメールの量が大幅に減少した。この下落の原因としては、次のような可能性が推察される。一つは、スパムメールを送信するボットネット「Rustock」の活動が著しく低下したことである。このボットネットは、世界中で流通するスパムメール総量の半分近くを送信していることで知られており(※1)、Rustockの活動になんらかの変化があったのかもしれない。もう一つ可能性があるのは、医薬品関連のスパムメール送信者にアフィリエイトプログラムを提供していた組織「Spamit」が2010年10月中旬にその活動を停止したことの影響だ。

図1●2010年12月20日から2011年1月10日までのスパムメール量(縦軸は2010年12月20日の量を「1」とした時の相対値)
図1●2010年12月20日から2011年1月10日までのスパムメール量(縦軸は2010年12月20日の量を「1」とした時の相対値)

 ただ、2011年1月第2週目頃には、スパムメールの量は以前の水準に戻ってしまった。スパムメールの量は、一時的に減少する時期があったとしても、全体的にはむしろ増加傾向にある。1年単位での比較では、2009年よりも2010年の方が増加していることが判明している(※2)。

図2●2004年から2010年までのスパムメール量(縦軸は2009年の量を「1」とした時の相対値)
図2●2004年から2010年までのスパムメール量(縦軸は2009年の量を「1」とした時の相対値)

「KELIHOS」ファミリを拡散するスパム攻撃

 2011年が明けて間もなく、「お正月」に便乗したスパムメールが確認された。この事例では、「Happy 2011!」(2011年おめでとう)や「Wishing you the best New Year」(最高の新年でありますように)といった件名が利用されており、インターネット上で広まっていることが確認されている。スパムメール本文には、「受信したグリーティングカードを見るためには以下のリンクをクリックする必要がある」という短いお知らせが記載されており、誤ってクリックすると、ユーザーは不正なWebサイトに誘導されることとなる。そして、「TROJ_KELIHOS.DLR」(※3)として検出される“Adobe Flash Player”の偽インストーラーを自動的にダウンロードさせられることになるのだ。

図3●KELIHOの攻撃の流れ
図3●KELIHOS感染の流れ

 「TROJ_KELIHOS.DLR」は、別の不正なWebサイトに接続し、「WORM_KELIHOS.SM」(※4)として検出されるワームをダウンロードおよび実行する。この「WORM_KELIHOS.SM」は、「TROJ_KELIHOS.DLR」をダウンロードするリンクを含んだスパムメールを送信する。この「WORM_KELIHOS.SM」は、サーバーとなる他の感染したコンピュータから、利用予定の送信者名、件名、およびメッセージのリストを取得して、これらを組み合わせることにより少しずつ内容を変化させた、「KELIHOS」製のスパムメールを作成する。

 「WORM_KELIHOS.SM」は、スパム活動に加えて高度なログ機能も備えている。「WORM_KELIHOS.SM」は、特別なコマンドラインパラメーター「/loggs99」を実行するが、このパラメーターは、「WORM_KELIHOS.S」が行った活動の詳細なログファイルを作成するものである。このログファイルには、「WORM_KELIHOS.SM」が行ったP2Pの挙動、特に、既に感染した別のコンピュータにどのように接続しようとしたのかが記述されている。もし、別のコンピュータへの接続が成功したのであれば、「WORM_KELIHOS.SM」は、その別のコンピュータから既知の感染コンピュータリストを収集し、自身のコンピュータリストを更新する。そのログファイルから、このときの更新方法も分かる仕組みだ。

「KELIHOS」は、新種の「WALEDAC」か?

 「WALEDAC」は、スパムメール送信に関連するワームの中でも、悪名高いものの一つである。WALEDACの攻撃活動はKELIHOSと似ており、主に新年の挨拶など短いがタイムリーなメッセージ、および不正なWebサイトへのリンクを使った攻撃を行う。WALEDACは、特に、各種医薬品を売る薬局の広告を送信するという手法を用いることでよく知られている。WALEDACの中には、別のソーシャルエンジニアリングの手口を用いる亜種も確認されている。その手口とは、ユーザーがスパムメール内のリンクをクリックすると、ユーザーのインターネット接続地域に応じたコンテンツをWebサイトに表示する、というものである。そのため、そのWebサイトから不正プログラムをダウンロードしてしまう確率が高くなる。

 WALEDACは、このようなスパム活動に加えて、「Fast-Flux」手法の利用やバイナリーコードに難読化などの改変をすることでよく知られている。「Fast-Flux」手法とは、ドメインに割り当てるIPアドレスを極めて短時間のうちに次々と変更する手法で、こうして追跡を困難にするのである。

 このWALEDACと同じスパム活動が「WORM_KELIHOS.SM」でも見受けられる。このことは、WALEDACの背後にいるサイバー犯罪者が、KELIHOSによるスパム活動も行っている、という憶測を呼んだ。これまでに確認されているWALEDACの亜種のように、「WORM_KELIHOS.SM」もまた、P2Pの仕組みを介して通信を行っている。この通信は、「HTTP2P」と通常呼ばれている通信方法を使って、TCPポート80番を介して、別の感染したコンピュータと接続することによって実現される。しかし、KELIHOSはWALEDACの新種であるかどうかを確かめるためには、新たな情報が必要である。