Tag Archives: Hosted Mail Security

竜船祭は、端午節とも呼ばれ、中国をはじめとする東アジア各地で 2,000 年以上前から伝統的に祝われてきた重要な祝日です。人々はこの日、象徴的な一連の行事によって夏の伝染病や悪霊を追い払います。古来、夏というのは重い病気をもたらす病害虫や蛇、ノミの季節であると考えられてきたからです。

竜船祭の日には、竜船（ドラゴンボート）競技を開催するほか、蒸したもち米を竹の皮で包んだもの（ちまき）を食べる、薬用酒（雄黄酒）を飲む、生薬を使った香り袋を身に着けるなど、さまざまな伝統儀式があります。こうした行事の多くは商業的な要素を含んでいるため、スパマーもひと儲けするチャンスを抜け目なく狙っています。

今年は 6 月 12 日が竜船祭に当たっており、それに先立つ期間にシマンテックは、竜船祭に関係するスパムを大量に遮断しています。

図. 竜船祭にちなんだサンプルスパムメール

疑わしいリンクが掲載されている迷惑メールの扱いには、改めてご注意ください。終わることのないスパムの処理に閉口している方には、受信ボックスに届く前に迷惑メールを遮断する、シマンテックの最新のスパム対策製品をお勧めします。スパムに悩まされることなく、楽しい竜船祭をお過ごしください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

A lot of people are counting down the days until they can express their appreciation and love towards their dads by giving them gifts for Father’s Day, which is celebrated on June 16. Last month we published a blog called Spammers Continue to Exploit Mother’s Day, now it’s the turn of Father’s Day, as spam messages have started flowing into the Symantec Probe Network. Most of the spam emails attempt to encourage users to take advantage of product offers, fake surveys, and replica watches. Clicking the URL contained in the spam message automatically redirects the user to a website containing a bogus offer.

Figure 1. Gift offer spam

Figure 2. Product spam related to Father’s Day

Spammers will always try to take advantage of unsuspecting users by asking them to input personal information to avail of bogus offers for purchasing products. Symantec recently blogged about the rise of .pw URLs in spam messages and we are currently observing an increase in spam messages containing the .pw top-level domain (TLD) URLs in and around the times of major events, festivals, and holidays. Below are some examples of the From header, using .pw URLs, that have been observed in Father’s Day spam:

• From: “Personalized Father’s Day Gifts” <support@[REMOVED].pw>
• From: Quick Father Gifts <cigarformen@[REMOVED].pw>
• From: Cigars for Dad <cigarformen@[REMOVED].pw>
• From: Fathers Day Cigars <cigarformen@[REMOVED].pw>

Figure 3. Fake discount spam using Father’s Day as a lure

Spammers invite users to purchase the advertised product with a bogus coupon code and make false promises such as claiming the “materials used are the same as original.” The discount codes used in the spam attacks, such as dad[RANDOM NUMBERS] and father[RANDOM NUMBERS], attempt to lure users into clicking a link in order to take advantage of the Father’s Day offer.

Figure 4. Fake product discount spam

Symantec is observing an increase in spam volume related to Father’s Day, which can be seen in the following graph.

Figure 5. Volume trend of Father’s Day spam

Below are some of the subject lines used in this latest spam campaign:

• Subject: 15 Cigars for 29.95 (68% off Fathers Day sale!)
• Subject: The perfect gift for Fathers day only costs 32% of the original price!
• Subject: Regarding Father’s Day orders
• Subject: Personalized Gifts for All The Dads In Your Life
• Subject: Top Personalized Fathers Day Gifts
• Subject: Get relief from chronic spine conditions. Father’s Day Discount Available
• Subject: Don’t forget your father
• Subject: Don’t forget about your father
• Subject: Complete our Father’s Day Survey and Claim a $25 xxx Gift Card
• Subject: Endoscopic alternative to neck and back surgery is here. Father’s Day Discount Available

Symantec advises users to use caution when receiving unsolicited or unexpected emails. We are closely monitoring Father’s Day spam attacks to ensure that users are kept up to date with information on the latest threats.

Have a safe and happy Father’s Day!

The Dragon Boat Festival, also known as the Duanwu Festival, is an important traditional holiday that has been celebrated by Chinese people as well as other people in East Asian societies for nearly 2,000 years. It is a day for people to drive away epi…

寄稿: Avdhoot Patil

フィッシング攻撃のプラットフォームとしてソーシャルネットワークサイトを集中的に利用する例が後を絶ちません。シマンテックでも、ソーシャルネットワークに関連したフィッシング攻撃を何度も確認しています。フィッシングの餌としては、有名人を利用した宣伝、偽のアプリケーション、無料の通話時間、懸賞などが多用されています。最近では、トルコの Facebook ユーザーを標的としたフィッシング攻撃で、トルコ警察が悪用された例があります。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。

図. トルコ警察の正規の Web ページに見せかけたフィッシングサイト

このフィッシングサイトはトルコ語で書かれており、トルコの治安局長が所有者だと謳っています。さらに、トルコ警察が最近 Facebook アカウント情報の盗難を確認したため、Facebook の情報漏えい対策として Web サイトを作成したという説明が続きます。また、トルコの刑法に従って、ユーザーは正しい情報を入力する必要があり、ログイン情報を入力すれば、ユーザーアカウントの保護申請が警察に送信されると書かれています。

フィッシングページには、アンカラにあるトルコ警察本庁の名前と住所が記され、このメッセージはトルコ警察のセキュリティシステムから送信されたことになっていますが、言うまでもなく、フィッシングサイトはユーザーのログイン情報を盗み出す目的で作成されたものです。ログイン情報を入力すると、フィッシングページは正規の Facebook サイトにリダイレクトされます。

このフィッシング詐欺に引っかかってログイン情報を入力すると、詐欺師に情報を盗み出されてしまいます。

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

• 電子メールメッセージの中の疑わしいリンクはクリックしない。
• 電子メールに返信するときに個人情報を記述しない。
• ポップアップページやポップアップ画面に個人情報を入力しない。
• 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
• ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
• 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
• 偽の Web サイトや電子メールを見かけたら通知する（Facebook の場合、フィッシング報告の送信先は phish@fb.com）。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Contributor: Avdhoot Patil
Phishers have continued to focus on social networking sites as a platform for their phishing activities. Symantec is familiar with various phishing campaigns related to social networking. Celebrity promotions, fake applicatio…

寄稿: Binny Kuriakose

サイバー空間は、表現の自由を隠れ蓑にした匿名性が横行し、明確な法律も欠如しているため、セキュリティの観点から見ると混沌としています。各国とも、サイバー空間に巣くう犯罪者を管轄当局が逮捕して処罰するために法律の整備が必要であると自覚しつつあるものの、犯罪者は実に巧妙です。

スパマーが絶妙な手口でスパムを拡散することは知られていますが、最近ではスパム攻撃を仕掛けるためにスパム対策の法律すら悪用し始めました。今回のブログでは、スパム対策法の実効性を吟味するのではなく、電子メールで法律を引用してスパムの信憑性を装う手口について説明したいと思います。

なかには、スパムと正規メールのどちらともつかない「グレーゾーン」の電子メールもあり、あまりに微妙な言い回しのために、受信したユーザーがその判断を誤ってしまう場合も少なくありません。電子メールの本文中でスパム対策法を引用し、その法律に従った電子メールであると主張するのは、こうした「グレーゾーン」のスパムをシロに見せかけるための常套手段です。
 

CAN-SPAM 法（ポルノおよび広告の迷惑メールによる攻撃の取締法）- 公法 108-187（米国、英語）

図 1 に示したサンプルでは、CAN-SPAM 法、すなわち米国におけるスパム対策法の規定に従っていると書かれています。電子メールの最後に免責条項のセクションがあり、この法律について説明されています。
 

図 1. スパム対策法を本文中に引用したスパムのサンプル
 

このスパムの問題点

このサンプルの違法性は、スパマーが提示している「受信拒否（オプトアウト）」のオプションが偽ものだという点にあります。受信を拒否しても、別のメール送信対象者リストにアドレスが移し替えられるだけです。これに類するスパムには必ず、法律を引用したうえで「購読解除」または「受信拒否（オプトアウト）」のオプションが用意されているので、その信憑性に被害者は引っかかってしまいます。
 

スパムで「悪用」が広く確認されている他の法律

1. MURK 法案 – Bill S.1618 Title III（米国、英語）

   これまでに最も多く悪用されている法律的な記述は、米国の「Bill S.1618 Title III」、通称「MURK」という法案です。スパムに関連しているものの、この法案は上下両院で否決されたため、制定には至っていません。したがって、「Bill S.1618 Title III に従っている」と書かれていたら、その言葉自体に嘘があることになり、まず疑ってかかる必要があります。この法案を引用したスパムメールは、同法案が提出された 1998 年から確認されています。

   

   図 2. Bill S.1618 Title III を引用したスパムの免責事項

   さらに不愉快なのは、スパマーがこの引用を盾にとって、ユーザーを脅迫までしていることです。

   

   図 3. Bill S.1618 を引用して脅迫するスパム

   ところが、この事例は米国の国境を越えて広まっています。同じ引用が、ポルトガル語やスペイン語など他の言語でも見つかっているからです。

   

   図 4. Bill S.1618 Title III を引用したスペイン語のスパムでの免責事項
    

1. ヘイビアスデータ法 No. 25、326 Art. 27 Inc. 3（アルゼンチン、スペイン語とポルトガル語）

   ヘイビアスデータ法は、アルゼンチンにおいて商用電子メールのガイドラインを定めた法律です。同種の他の法律と同じく、ヘイビアスデータ法でも、個人情報をデータベースから削除するよう請求する権利をユーザーに保証しています。

   スペイン語やポルトガル語のスパムメール攻撃でこの法律が引用され、また本物らしく見せるために受信拒否（オプトアウト）のオプションも使われています。受信拒否（オプトアウト）オプションが偽ものである点は変わらず、受信されるスパムが減るわけではありません。

   

   図 5. ヘイビアスデータ法を引用したスパムの免責事項
    

1. 法律 No. 28493 / 29246 / D. S. 031-2005-MTC（ペルー、スペイン語）

   No. 28493 / 29246 / D. S. 031-2005-MTC はペルーの法律で、当然スペイン語で書かれています。他の国や地域から送信されたスペイン語のメールでも、この法律を引用して合法性を主張するものがあります。以下のサンプルでは、登録解除オプションとして Web メールに返信するように説明されています。

   

   図 6. ペルーの法律 No. 28493 / 29246 を引用したスパムの免責事項
    

1. Déclaration CNIL n°1291376 と Déclaration CNIL n°1181416（フランス、フランス語）

   商用メールに関するフランスの 2 つの法律がスパムで確認されていますが、この例では適切な受信拒否（オプトアウト）オプションがユーザーに示されていません。受信拒否（オプトアウト）リンクがある場合には、ユーザーの個人情報が削除されるというメッセージの書かれた Web ページにリダイレクトされるのが一般的です。もちろん、実際に削除が実行されることはありません。

   

   図 7. フランスの CNIL No 1291376 を引用したスパムの免責事項
    

まとめ

以上のサンプルから、スパマーが法律を都合よく利用してスパムを糊塗し、偽の合法性を演出しようとしていることは明らかです。残念ながら、受信したユーザーは今でもこの手口の犠牲になっています。

個人がいかなる通信についても受信を拒否する権利と、個人情報をデータベースから削除するよう請求する権利は、多くの国や地域で認められています。しかし、リストからの登録解除だけではなく、リストへの登録そのものを取り締まる強力な法律も同じくらい必要であることが、今回の事例から明らかになりました。スパマーは、登録を解除しても、別の送信リストに加えるだけだからです。ユーザー側でも、スパム対策の各法律によって個人にどのような権利が付与されるのか知っておくべきでしょう。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

シマンテックは、URL が含まれるスパムの増加を確認しています。5 月 16 日に 84% から 96% へと 12% の増加を示して以来、URL スパムの比率は 95% から 99% の範囲で推移していました。つまり、この間に配信されたスパムメッセージのうち 95% に、少なくとも 1 つの URL が含まれていたということです。

図 1. URL スパムメッセージの比率

同期間に最も多く使われていたトップレベルドメイン（TLD）は .ru でした。.ru を含むスパムが減少すると、入れ替わるように .com を含むスパムと .pw を含むスパムが増加している点に注目してください（図 2）。TLD に .ru、.com、または .pw を含む URL スパムが、全体の 73% を占めています。

図 2. 上位 3 位までの TLD の比率（過去 7 日間）

表 1. TLD の上位 5 位が URL スパム全体に占める割合

.ru の TLD と、短縮 URL や無料 Web ドメインを組み合わせて使う例も増えています。確認されているスパムサンプルの多くは、一撃離脱タイプのスパムです（「かんじきスパム」とも呼ばれます）。スパムメッセージに記載されている URL をクリックすると、偽の広告や医薬品のオンライン販売サイトにリダイレクトされます。

スパムメールで確認されている件名の例を以下に挙げます。

• 件名: Ends Today! Buy One, Get One Free（本日かぎり! 1 つ買えばもう 1 つサービス）
• 件名: 48 Hours Only | Free Shipping!（48 時間限定。送料無料）
• 件名: FREE LIFETIME PASS – WHENEVER YOU WANT（生涯無料、いつでもほしいときに）
• 件名: Are you dreaming about good health?（健康でいたいと思いませんか?）
• 件名: Satisfy your girl fully（彼女も 100 % 満足間違いなし）
• 件名: Win your lady’s addiction（奥様も夢中に）
• 件名: Present your women real care（恋人に本当の愛を贈ろう）
• 件名: You need Ukrainian woman with beautiful eyes that are ready to talk to private theme?（魅力的なまなざしのウクライナ美女と 2 人だけで会話できる）

図 3. URL スパムのメッセージ

URL スパムの急激な増加が見られたのは、2012 年 12 月と今年の 1 月、ちょうどホリデーシーズンを狙うスパムや年末スパムが増加した時期でした。シマンテックは、URL を含むスパムの増加を引き続き監視し、今後もこういった攻撃を遮断するためのフィルタを追加してお客様を保護します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

フィッシング詐欺師は、ユーザーの個人情報を手に入れるチャンスを少しでも増やそうとして、あらゆることを試みます。よく知られているのは、さまざまな偽のソーシャルメディアアプリを使ってユーザーを誘い込む手口です。最近も、新しい偽アプリの例がいくつか見つかっています。

1 つ目の例は、女の子の写真と Facebook の［いいね］ボタンを使ったフィッシングサイトです。ボタンをクリックすると、この写真に「いいね」を付けるために Facebook のログイン情報を入力するよう求められます。ログイン情報を入力するとログインが確認され、もう 1 度［いいね］ボタンをクリックするよう求められます。ボタンの隣には、これまでに付けられた「いいね」の件数も表示されますが、これは偽の数字です。このフィッシングサイトのホストサーバーは、オランダのアムステルダムに置かれていました。

図 1. 女の子の写真と、Facebook の［いいね］ボタン

図 2. 写真に「いいね」を付けるにはログイン情報の入力が必要

図 3. ［いいね］ボタンの隣に表示された「いいね」の数

2 つ目の例は Facebook のログインページに偽装したフィッシングサイトで、インドのユーザーに向けて新機能が追加されたと称しています。フィッシングサイトの名前は「Chehrakitab」であり、これはヒンディー語で「Face Book」という意味です。この例のように、インドのユーザーを狙って設計されたフィッシングサイトは、きまって作りがお粗末です。以前に出現した偽の Facebook 2013 デモバージョンがそのいい例でした。フィッシングページに書かれた説明によれば、サイトはまだ作成中だがログインは可能ということになっています。ロゴの下に「ユーザーの時間を無駄にしている」と書かれているところを見ると、このフィッシング詐欺師は Facebook を蔑視しているのかもしれません。このフィッシングサイトは、無料の Web ホスティングサイトをホストとして利用していました。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

図 4. インド版の Facebook を装ったフィッシングサイト

インターネットを利用する場合は、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

• 電子メールメッセージの中の疑わしいリンクはクリックしない。
• 電子メールに返信するときに個人情報を記述しない。
• ポップアップページやポップアップウィンドウに個人情報を入力しない。
• 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
• ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺およびソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
• 電子メールで送られてきたや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。