スパムメールによる悪性サイトへの誘導
Published: 2007/09/24
アドレス帳などコンピュータ内のメールアドレスを外部に送信する機能を持つマルウェアに感染させて、対象メールアドレスを流通させ、当該メールアドレスへのスパムメールの到達状況を観測している。スパムメール本文中のURLをクライアントハニーポットでアクセスした。
スパムメール収集期間 | 8/21〜8/23(3日間) |
---|---|
スパムメール収集数 | 47945 |
抽出URL数 | 53522 |
ユニークURL数 | 9307 |
悪性判定URL数 | 466(ユニークURLの約5%) |
興味深いのは、ユニークURLのうち実に72%に相当する6691URLが http://IPアドレス という形式のURLだったことである。
この6691アドレスのうち、日本のIPアドレスは26個あり、1個はクライアントハニーポットにより悪性サイトとして判定された。(ブラウザでアクセスしたのと同時に C:\sysnedv.exe が置かれプロセスが起動された。)日本のIPアドレス26個の一部については、動的IPアドレス帯であると推定でき、何らかの方法によりマルウェアに感染後、すぐに攻撃コードとマルウェアを搭載したWebサーバとなって、スパムメールによる誘導先となっていることが考えられる。
同様のスパムメール収集環境における6/11から9/20までのメール収集数、ユニークURL数、http://IPアドレス という形式のURL数、ユニークIPアドレス数の推移は以下の通りで、6月下旬から http://IPアドレス という形式のURLがスパムメールに用いられるようになった。
by 32htd