Wallace氏によると、最新のスパムやフィッシングには、AmazonやDigg、iTunesなどのサービスを騙るものが増えており、メール内に記載されているリンクをクリックすると、悪意のあるサイトにアクセスしてしまうという。たとえばAmazonを騙るメールは「商品の注文を受け付けた」というニセのオーダーメールで、PCをゾンビ化するようなサイトに誘導しようとする。リンク先のサイトは画面やイメージも本物に酷似しており、一般のユーザーは区別しにくくなっている。
メールの内容においても、「この写真はあなたですか?」と画像のリンク先が記載されていたり、運送会社大手のUPSから荷物についての問い合わせであったり、なかには「警察があなたを捜している」というものもあるという。これはもちろん、すべてニセのメールであり、リンク先は危険なサイトになっている。こうした“ソーシャルエンジニアリング”の手法がエスカレートしているという。
新しい手法「Snowshoe Network」
スパムやフィッシングメールに記載されるリンク先は、PCをゾンビ化するようなサイトが多いが、これはPCをボットに感染させることでメールの送信に使用したり、特定のサイトへの攻撃に悪用することが目的だ。これも金銭を得ることが攻撃者の目的となっている。リンク先が正当なものかどうかは、メールのソースを見れば確認できる。しかし、メール送信元のIPアドレスは直接に通ったものしか表示されないため、正確なフィルタリングが困難になっている。
それでも、ボットが送信するスパムやフィッシングメールは、同一のIPアドレスから大量に送信されるため、発見が容易であった。しかし、攻撃者はこれに対抗するため、2009年の暮れ頃から「Snowshoe Network」と呼ばれる、新しい手法を取り入れている。
「Snowshoe」とは「かんじき」の意味で、IPアドレスを少しずつ変えながらメールを送信することで本物のISPから届いたかのように見せるという手法だ。かんじきのように圧力を分散することで、発見されにくくするわけだ。
Proofpointはスパムやフィッシングメールの検出のために「Virtuous Circle(循環論法)」を採用している。これは、不正なIPアドレスから送信されたメッセージに含まれるペイロード(リンク)などを解析する「コンテンツ解析」を実施し、常に「コンテンツスコアの改善」を行っていく。さらに、レピュテーションスコアが低いメッセージなどに対して中身を詳しく解析して特徴を捉える「IP解析」を行って「PDRブロックレートの改善」につなげていく。
この4つの動作を循環させることで検出率を上げていくという。同社では1日2000万ものドメインやヘッダ、IPアドレス、テキストの文字列を解析している。これにより、Snowshoe Networkを使用したメールも数分から十数分で対応することを可能にした。
スパムメールやフィッシングメールは当然、検出から逃れようと次々に新しい手法を取り入れている。送信技術とソーシャルな手法を組み合わせた攻撃により、実害も出始めているという。個人で行える対策は「リンクをチェックする」「見知らぬドメインへのリンクは絶対にクリックしない」といったことが挙げられるが、もはや個人で責任を負える状態ではなく、「企業はスパム、フィッシングから社員を守る責任を担う効果的なメールセキュリティソリューションが必要」(Wallace氏)であるとしている。
