編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

スパムやフィッシングの新手法「Snowshoe Network」の正体--プルーフポイント - (page 2)

吉澤亨史

2010-09-28 20:52

 Wallace氏によると、最新のスパムやフィッシングには、AmazonやDigg、iTunesなどのサービスを騙るものが増えており、メール内に記載されているリンクをクリックすると、悪意のあるサイトにアクセスしてしまうという。たとえばAmazonを騙るメールは「商品の注文を受け付けた」というニセのオーダーメールで、PCをゾンビ化するようなサイトに誘導しようとする。リンク先のサイトは画面やイメージも本物に酷似しており、一般のユーザーは区別しにくくなっている。

 メールの内容においても、「この写真はあなたですか?」と画像のリンク先が記載されていたり、運送会社大手のUPSから荷物についての問い合わせであったり、なかには「警察があなたを捜している」というものもあるという。これはもちろん、すべてニセのメールであり、リンク先は危険なサイトになっている。こうした“ソーシャルエンジニアリング”の手法がエスカレートしているという。

新しい手法「Snowshoe Network」

 スパムやフィッシングメールに記載されるリンク先は、PCをゾンビ化するようなサイトが多いが、これはPCをボットに感染させることでメールの送信に使用したり、特定のサイトへの攻撃に悪用することが目的だ。これも金銭を得ることが攻撃者の目的となっている。リンク先が正当なものかどうかは、メールのソースを見れば確認できる。しかし、メール送信元のIPアドレスは直接に通ったものしか表示されないため、正確なフィルタリングが困難になっている。

 それでも、ボットが送信するスパムやフィッシングメールは、同一のIPアドレスから大量に送信されるため、発見が容易であった。しかし、攻撃者はこれに対抗するため、2009年の暮れ頃から「Snowshoe Network」と呼ばれる、新しい手法を取り入れている。

 「Snowshoe」とは「かんじき」の意味で、IPアドレスを少しずつ変えながらメールを送信することで本物のISPから届いたかのように見せるという手法だ。かんじきのように圧力を分散することで、発見されにくくするわけだ。

 Proofpointはスパムやフィッシングメールの検出のために「Virtuous Circle(循環論法)」を採用している。これは、不正なIPアドレスから送信されたメッセージに含まれるペイロード(リンク)などを解析する「コンテンツ解析」を実施し、常に「コンテンツスコアの改善」を行っていく。さらに、レピュテーションスコアが低いメッセージなどに対して中身を詳しく解析して特徴を捉える「IP解析」を行って「PDRブロックレートの改善」につなげていく。

 この4つの動作を循環させることで検出率を上げていくという。同社では1日2000万ものドメインやヘッダ、IPアドレス、テキストの文字列を解析している。これにより、Snowshoe Networkを使用したメールも数分から十数分で対応することを可能にした。

 スパムメールやフィッシングメールは当然、検出から逃れようと次々に新しい手法を取り入れている。送信技術とソーシャルな手法を組み合わせた攻撃により、実害も出始めているという。個人で行える対策は「リンクをチェックする」「見知らぬドメインへのリンクは絶対にクリックしない」といったことが挙げられるが、もはや個人で責任を負える状態ではなく、「企業はスパム、フィッシングから社員を守る責任を担う効果的なメールセキュリティソリューションが必要」(Wallace氏)であるとしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]