スパム動向レポート2017 2Q

SPAMSNIPERの代表的な国内200以上の顧客の電子メールデータを分析した結果をまとめた「2017年第2四半期のスパム動向分析報告書」をもとに、2017年第2四半期の主要なスパム動向をお知らせします。(これは、ジランセキュリティAnti-Spam Labからの定期分析動向レポートの抄訳です。)

 

スパム動向キーワード

2017年第2四半期には、添付ファイルを実行するとランサムウェアに感染する様々なタイプのメールが発見されました。

特にこのランサムウェアメールは、実際に個人ユーザーが関連していそうなトピック(交通反則告知書、海外発送のご案内など)を活用して、ユーザーがランサムウェアのダウンロードや悪意のあるURLのクリックを誘導するように社会工学的に進化している様子や、ユーザーIDとパスワード情報の入力を誘導し、個人情報の奪取の可能性があるフィッシングサイトのメールを確認しています。

スパムレポート 2017 2Q

 

スパム動向統計分析

2017年第2四半期全体のメール量は、第1四半期比で約0.53%増加しました。そのうちの正常メールは0.59%増加し、スパムメールも0.44%増加した。昨年第4四半期からしばらく小康状態を見せていたウイルスメールが2017年の第2四半期には13.71%というやや大きな幅の上昇率を見せています。しかし、これは現在世界的に話題になっているランサムウェアメールの流入量の増加の影響があると思われます。

スパムメール総件数は前四半期比0.44%増加しました。2017年第2四半期のスパムメールの中で最も大きな割合を占める種類は、82%のアダルト関連のメールであり、その次には広告、フィッシング、その他、金融(融資)の順です。今回の第2四半期には、各タイプのスパム流入量が均一に増加したことを確認することができていたアダルト型は0.25%、広告タイプは1.19%、フィッシングタイプは2.11%増加しました。金融(融資)は、他のタイプよりもやや高い5.09%の上昇幅を示したことが明らかになりました。

spam report 2Q2

 

主なスパム事例

■ ISSUE 01

公共機関、企業名を詐称したランサムウェアメールの流入

spam report 2q 03

1番のメールは5月末〜6月初旬に集中的に送信された警察庁を詐称して交通反則告知書を添付したランサムウェアメールです。このメールは、警察庁の公式ドメインではなくGmailアカウントによって送信され、本文には、警察庁の画像を挿入して、「交通反則告知書」という名前の圧縮ファイルを添付していました。警察庁サイバー安全局は、そのファイルを実行させると、コンピュータがダウンして決済を要求する画面を表示しランサムウェアによるファイル毀損の可能性があるので、ソース不明のファイルは開くことなくすぐに削除することを推奨しています。

2番のメールも、グローバル企業を詐称したランサムウェアタイプのメールです。最初の詐称事例のように、領収書と送信元を詐称したファイルを添付しており、本文には出荷に問題が生じたため、添付ファイルを印刷した後、近くのオフィスで宅配物品を受け取るためのパスワードが記載されています。圧縮ファイルを解凍するとスクリプトファイルとdocファイルが実行されます。これを実行した場合は、PC内のデータを奪取されたり、PC内のデータを毀損するなどの被害が発生する可能性があります。最近、海外からの直送品が増加し、関連するメールを確認する可能性が高いので、メール受信者は注意が必要です。

5月〜6月には、海外100カ国以上で12万台以上のPCがランサムウェア(WannaCry, Petya)に感染し、国内でもホスティング会社が感染して2次被害を受けた事件が発生し、全世界的にランサムウェア被害事例が増加しています。ランサムウェアに感染した場合には、お金を支払っても完璧な復元はできませんので、被害を軽減するためには重要なデータは常に別のストレージデバイスにバックアップをしておき、ソースが不明なファイルは実行せず、OSとスパムをブロックするワクチンプログラムは最新のセキュリティ更新プログラムの状態を維持する必要があります。

 

■ ISSUE 02

企業を詐称したフィッシングメールと宗教宣伝メールの流入

spam report 2q 04

第2四半期には、ドキュメントのファイルのリンクをクリックするとフィッシング詐欺サイトに移動するスパムが多数発見されました。1番のメールはInvoiceドキュメントを確認してほしいという内容と、PDFファイルのリンクがかかっているスパムメールです。本文の下部には、PDF文書のアイコンと一緒にダウンロードリンクが接続されているが、そのリンクはソース不明のサイトへリンクされており、アカウントのログイン情報の入力を誘導して個人情報の奪取の可能性があることを確認しています。

 

Excel文書などの添付ファイルや本文内のリンクをクリックすると特定のサイトへ誘導したり、実行ファイルのダウンロードが
強制的に行われる場合がありますので、ソース不明の添付ファイルやリンクはクリックしないでください。

2番のメールは、Amazon注文のキャンセルを受け付けたので確認してほしいという内容のスパムメールです。このタイプのメールは、本文のURLが変更されて不特定多数に送信され、正規のアマゾンと同様に作成されているため何の疑いもなく確認するように誘導します。本文には注文番号が記載されていますが、そのリンクをクリックするとAmazonではなく他のサイトに移動することになり、このサイトは個人情報の奪取の可能性が高いことが確認されています。

3番のメールは、ユーザーのメールボックスの容量が残り少なくなったので、あらかじめアップグレードをするように誘導する内容のメールです。大学のウェブメールや有名ポータルサイトからのメールに偽装して本家サイトのログイン画面と同様にページに移動するようになっており、不注意でIDとパスワードを入力してしまった場合、本人のIDとパスワードを盗まれることがありますので、不用意にリンクをクリックしないように注意する必要があります。