ボットを踏み台にして送信される日本語スパム
Published: 2007/09/30
スパム解析の多くが大量のメールアカウントを用意し、そこに届くスパムを解析するといういわゆる「spamtrap」を用いるものが多いが、より多角的に解析するためにHoneyPotと仮想MTAを利用したシステムによりHoneyPotを経由して行われるすべてのSMTP通信をダミーのMTAで処理することで「ボットを利用したスパム送信」を送信側の視点で解析している。当然、送達確認を行うような慎重なスパム送信に関しては気づかれてしまうため逃げられるが、大半の大量性を持つスパムは送信側の視点で解析が可能になる。
最近の傾向としては(以前からの傾向もあるが)
- プロキシサーバーとして踏み台にされるものが圧倒的に多く、ボット自身のsmtpエンジンを利用したものは通数でいえば1%程度。
- 世界中から利用される。(使用言語は、日本語50%、ロシア語、中国語、英語)
- 国内携帯電話向け、国内ISP向け日本語スパムが2006/10月頃から顕著になっている。(最近は減少傾向)
- 日本語スパムの送信源の99%が韓国、上海、香港、台湾。
- MTA1台あたり一度に10通未満しか送信せず大量のMTAをラウンドロビンしている。
- 送信先メールアドレスのdomainと送信に利用するボットのdomain(ISP)を一致させているものが多く含まれる(OP25B対策?)
- 割合は低いがsubmissionやSMTP-AUTHを利用したspam送信も観測されている。
- 最近はWebメールが増えてきている。
- フィッシングメールやMalware添付のメールはまとめて送信されておらず同一の送信者からも1000〜3000通に1通程度の割合で挿入されている。
複数のネットワークに設置した、数十台のHoneyPotで観測されている状況ではあるが、世界中の大量のボット(プロキシ)をラウンドロビンしている送信システムの一部が見えているだけなので、数字的な部分は慎重に考慮する必要があるが。
以下、ありがちだが、4〜8月頃まで流行ったボット経由の日本語スパムの中から携帯向けの例(携帯向けはもう下火かも?)
- それっぽいサブジェクトとそれっぽい送信元
Docomo-お知らせ "m.docomo-mobi" <send@m.docomo-mb.com> Docomo-お知らせ "m.docomo-mb" <send@m.nttdocomo.ne.jp> Docomo-お知らせ "m.docomo" <reg@mb.docomo-mb.co.jp> Docomo-お知らせ "docomo-mobile" <ntt-docomo@mobi.ntt-docomo.com> Docomo-お知らせ "mydocomo" <ntt-docomo@mobi.docomo-jp.net> Docomo-お知らせ "mb.docomo-jp" <sendmail@mb.i-mode.net> i-mode-ご確認下さい "m.mydocomo" <i-mode@mobi.docomo-mb.info> i-mode-ご確認下さい "m.ntt-docomo" <regist@mb.docomo-mobile.ne.jp> i-mode-ご確認下さい "mb.i-mode" <mobi@mb.nttdocomo.net> [au]EZwebをご利用中のお客様へ "" <xxxxxxxxx@xxx.xxxx> [au]是非ご一読下さい "" <xxxxxxxx@xxx.xxxx> [mixy]招待状をご確認下さい <customer@mb.mixy-jp.net> [mixy]招待状をご確認下さい <regist@m.mixy-japan.net> [mixy]招待メール通知 <welcome@mobi.mixy-web.co.jp> [mixy]招待メール通知 <mail@mobile.mixy.info> [softbank]softbankをご利用中のお客様へ xxxxxx@yahoo.com
- 文面的にもURL的にもdocomoに関係あるっぽい
To: xxxxxxxxxxxx@docomo.ne.jp Subject: i-mode-ご確認下さい From: "m.docomo" <sendmail@m.docomo-jp.jp> Date: Thu, 21 Jun 2007 01:01:03 -0800 List-id: 8 -------------------------------------------------------------------------------- このメールはiコミュニティよりDocomoユーザー様へ送信しています。 あなた様宛にiコミュニティへの招待状が届きました。 コミュニティへ参加するには下記からアクセスして下さい。 http://docomo-mb.net/official/ Copyright 2007 i-community. all rights reserved
- auに関係あるっぽい
To: xxxxxxxxxxx@ezweb.ne.jp Subject: [au]EZwebをご利用中のお客様へ From: "" <xxxxxxx@xxxxxx.com> Date: Wed, 20 Jun 2007 15:03:34 +0800 List-id: 8 -------------------------------------------------------------------------------- EZwebをご利用中のお客様へ いつもご利用ありがとうございます。 EZwebをご利用のお客様へご案内です。 この度新メニューとしてEZwebユーザー様を対象とした新型コミュニティ「EZコミュニテ ィ」が誕生致しました。 登録方法も簡単になっており、登録料も無料となっておりますので、是非ご利用下さ い。 EZコミュニティへの入り口はこちら http://mvmvococ.com/ezweb/ Copyright 2007 EZcommunity. all rights reserved
- softbankに関係あるっぽい
To: xxxxxxxxxxxx@softbank.ne.jp Subject: Softbank Information From: "soft-bank" <help@m.soft-bank.co.jp> Date: Wed, 09 May 2007 08:01:26 -0800 List-id: 8 -------------------------------------------------------------------------------- ソフトバンクモバイルユーザー専門のY!コミュニティへようこそ ソフトバンクモバイルユーザー専用のコミュニティY!コミュニティ。 メールアドレスだって安心してやりとり出来ちゃいます。 登録会員は遂に1,700万会員突破! まずは下記からお試し体験! http://msn-japan.net/soft-bank/ Copyright 2007 Y!community. all rights reserved
似たような文面を見てもわかるように誘導されるURLは同一の管理者によって確保されている大量のURLの中の一部であり、接続されるサーバーは同一のものである。URLのバリエーションは100個近くある。これらのサーバーは複数の中国にあるサーバーや日本国内のブロードバンド回線につないだPCなどで構成されている。フィッシングやMalware配布にボットやゾンビPCが利用される例も多いがここで用いられているPCはこのために複数の国内ISPに契約している端末のようだ。
送信システムの本体および誘導サイトなどの主要なインフラのほとんどすべて海外にあるが、踏み台にされるPCが国内にあるため国内から送信されているように見えるので、ネットワークセキュリティ的には攻撃者が利用する国内インフラに対策を施していろいろやりにくくしようということを行わざるを得ないが、一時的な効果は上がるにしてもoffence側には痛手はなく、その手法は「よく考えている」と思わざるを得ないものが多いので「いたちごっこ」になる傾向は否めない。したがって対策の効果だけではなくネガティブな影響も慎重に予測しないといけない。
by jyake