この8000万の電子メールサーバは、残る6億3000万件の標的に電子メールを送信するのに使用される。このメッセージは、マルウェアを送りつけるのに最適なターゲットを発見できるように設計されており、「フィンガープリンティング」メールの手法が使われているという。
この電子メールは無害に見えるが、中に隠れたピクセルサイズの画像が含まれている。メールを開いてこの画像が表示されると、受信者のIPアドレスとユーザーエージェントの情報が送信され、この情報が、コンピュータの種類やOSなどをはじめとする、デバイスに関する情報を特定するために使われる。攻撃者はこれによって、誰をUrsnifのターゲットにすべきかを判断する。iPhoneやAndroidのユーザーはUrsnifの影響を受けないため、特にWindowsマシンがターゲットに選ばれる。
Benkow氏は、マルウェア拡散キャンペーンの成功には、ターゲットの絞り込みが重大な役割を果たすと説明する。
同氏は米ZDNetに対して、「あまり大規模に実施すると、キャンペーンが目立ちすぎる可能性がある。例えば『Dridex』がその例だ」と述べている。「キャンペーンが目立ちすぎると、警察機関に追われることになる」
Benkow氏の説明によれば、攻撃者が100万件の「フィンガープリンティング」スパムメールを送信しても、反応が返ってくるのはその一部にすぎないが、それでも第2弾として、ターゲットを絞り込んだマルウェア付きのメールを数千件送れるだけの反応を得られるという。
これらの電子メールは、数日後から数週間後に送信されることも多い。メッセージはデリバリーサービスやホテル、保険会社などからの請求書を装っているが、悪質なJavaScriptのファイルが添付されている。
「これはかなり賢いやり方だ」と、Benkow氏は認める。
データを処理したHunt氏によれば、リストにあった電子メールアドレスの27%は、すでにHave I Been Pwnedに収録されているという。ただし同氏は、データはウェブからかき集められたものだが、その一部は正しい形式ではないデータだと指摘している。また同氏は、7億1100万件という数字は技術的には正しいが、人間が対象となったデータの数は幾分少ないと述べている。
このデータは、すでにHave I Been Pwnedのサイトで検索できるようになっている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
