cNotes 検索 一覧 カテゴリ

スパムメールによる悪性サイトへの誘導

Published: 2007/09/24

アドレス帳などコンピュータ内のメールアドレスを外部に送信する機能を持つマルウェアに感染させて、対象メールアドレスを流通させ、当該メールアドレスへのスパムメールの到達状況を観測している。スパムメール本文中のURLをクライアントハニーポットでアクセスした。
スパムメール収集期間8/21〜8/23(3日間)
スパムメール収集数47945
抽出URL数53522
ユニークURL数9307
悪性判定URL数466(ユニークURLの約5%)
マルウェアによる感染PC内のメールアドレス収集〜スパムメール送信〜悪性サイトへの誘導による感染拡大のスキームを確認した。

興味深いのは、ユニークURLのうち実に72%に相当する6691URLが http://IPアドレス という形式のURLだったことである。

この6691アドレスのうち、日本のIPアドレスは26個あり、1個はクライアントハニーポットにより悪性サイトとして判定された。(ブラウザでアクセスしたのと同時に C:\sysnedv.exe が置かれプロセスが起動された。)日本のIPアドレス26個の一部については、動的IPアドレス帯であると推定でき、何らかの方法によりマルウェアに感染後、すぐに攻撃コードとマルウェアを搭載したWebサーバとなって、スパムメールによる誘導先となっていることが考えられる。

同様のスパムメール収集環境における6/11から9/20までのメール収集数、ユニークURL数、http://IPアドレス という形式のURL数、ユニークIPアドレス数の推移は以下の通りで、6月下旬から http://IPアドレス という形式のURLがスパムメールに用いられるようになった。

by 32htd