2021年のスパムのトレンドとは?「楽して稼ぐ詐欺」と「出会い系詐欺」
●
2020年は、世界的な新型コロナウイルスによるパンデミックへの対策から、リモートワークが主流になった。サイバー犯罪者はそれに目を付け、リモートワーク環境を狙った攻撃を仕掛け始めた。その主要なものがスパム、フィッシングである。2020年はこれらの検知数が大きく増加し、2021年もこの傾向は継続していた。本連載では、2021年のスパムとフィッシングのトレンドと2022年の予測を紹介する。
2021年のスパム、フィッシングの傾向とは?
2021年も引き続き、スパムとフィッシングが増加傾向にあった。これらは2020年の新型コロナウイルスのパンデミック以降に大幅に増加し、2021年5月からさらなる急増を見せた。2021年9月には、同5月の倍近くまで増加した。急増した要因には東京オリンピックの開催が挙げられるが、この状況は過去にも例がなかった。
過去1年間のスパム・フィッシングのトレンド
スパムの送信元IPを国別で見ると、日本では国内から送信されたスパムは23%と4分の1を切っている。以下、ブラジル(14%)、米国(8%)、中国(6%)ロシア(6%)と続いた。フランスでは43%、米国では65%と、一般的には国内からの送信が最も多い傾向にある。日本は、さまざまな国から攻撃を受けているといえそうだ。
国別スパムIPランキング(日本)
ちなみに、Vade Secure(以下、Vade)ではメール経由の主な脅威を「スパムボット」と「フィッシング」に大別している。スパムボットにはマルウェアが添付されたり、本文のリンク先がマルウェアサイトになっていたりするものもある。2021年にはランサムウェアが猛威を振るい、他のサイバー攻撃の一部として利用されるケースが目立った。
脅威の分類
例えば、不正アクセスにより重要な情報を盗み出す際にランサムウェアを仕掛けて暗号化し、復号のために身代金を要求するだけでなく、盗み出した情報をサイバー攻撃者が用意した「暴露サイト」で公開すると脅す二重脅迫や三重脅迫も発生した。さらに2021年は、1月にテイクダウンされたマルウェア「Emotet」が復活し、大きな脅威となっていた。
スパムボットの特徴と動向
スパムボットはマルウェアの一種であるボットのように、ある程度自動化された送信を行う。スパムボットは多くのサイバー犯罪者が存在すると思われ、例えばドメイン名はランダムなものから誤認されやすいように工夫したものまでさまざまである。
ドメイン名とIPアドレスの組み合わせも定期的に更新されており、IPフィルタリングを回避しようとしている。また、ほとんどのスパムボットがURLにリダイレクトシステムを利用している。スパムボットのタイプは、「楽して稼ぐ詐欺(Easy Money)」と「出会い系詐欺(Dating)」に大別される。いずれも誘導先へのリンクのクリックや、アクセス後に連絡を取るなど、ユーザーのアクションが多いことも特徴となっている。
Easy Moneyの特徴
Easy Moneyは、簡単に大金を稼ぐ方法を提案する詐欺の一種である。さまざまなサービスをキャンペーン中として格安で利用できる、あるいはわずかな投資で数億円を稼げるといった内容のものが多く、メールマガジンやフォーラム登録の確認メッセージのように見えるテキストメッセージのみで、一つまたは複数のリンクが含まれている。正規のリンクが含まれているものもある。
Easy Moneyのメール例
メールの送信元は日本国内と米国が中心であり、URLのドメインは主にAmazonなど米国で管理されているものが多い。なお、ドメインにアクセスするとトップページがないことが多い。そしてURLは、韓国や香港をはじめさまざまな国のドメインにリダイレクトされる。本文にあるリンクは、悪意のURLを検知されないように「無意味な文字列」や「特殊文字」を利用するケースが多いことも特徴だ。
詐欺サイトで会員登録をすることでサービスを利用でき、キャンペーンが適用される。さらに複数のアクションをすることでポイントが付与される。しかし、サービスを利用するにはポイントが不十分であり、ユーザーはお金を払ってポイントを購入することになってしまう。決済方法はクレジットカードになるため、クレジットカード情報を盗まれてしまう。
●
Datingの特徴
Datingは、文字通りに出会い系サイトに誘導するスパムボットだ。主に女性からのメッセージコメントとURLリンクが記載されており、クリックするとリダイレクトされ、出会い系サイトが表示される。出会い系と検知されずにリダイレクトするため、ブログ用のホスティングサービスを利用するケースが多い。スパムボットメールで最初のURLを使い回すことも多く、Easy Moneyの特徴のサイトにリダイレクトされることもある。
最初のリンク先ドメインは日本のものがほとんどであるが、リダイレクト先で表示される出会い系サービスのドメインは香港、韓国、米国など世界各国の業者で管理されている。出会い系サービスそのものは実際に運用されているものであり、Easy Moneyと同様にサービス登録時にポイントが付与される。サービスでは女性とメールのやり取りが可能だが、メールの送信にポイントがかかり、やり取りを続けるためにはポイントを購入する必要がある。
Datingのメール例
スパムボットは基本的に「ばらまき型」のメールで、英語のものが多い。しかし、日本語のスパムボットも存在しており、違和感のない日本語のものも増えてきている。特に日本語のメールは、ユーザーの興味を持たせるためにメールタイトルや文面を工夫しており、うっかりリンクをクリックしてしまうこともあるので注意したい。
誘導される出会い系サービスの例
企業・個人がスパムボットに対し気をつけるべきこと
ユーザーを狙うスパムボットの多くは、セキュリティ対策ソフトで迷惑メールとして選別される。しかし、いろいろな手法によって検知をすり抜けるものもあり、これらは巧妙であるため機械的にも人の目にも安全であると認識されてしまう。うっかりアクセスしてしまうと、最終的にクレジットカード情報を悪用され、高額な請求が届くことになってしまう。
基本的には、企業では業務に関係のないメール、個人では利用しているサービス以外のメールは開かないようにすることが第一である。また、スパムボットはリンクのクリックが大前提となるので、フィルタリング機能を持つセキュリティ対策を実施しておきたい。しかも、URLやIPアドレスは短いサイクルで変わるため、最新のフィルタリング情報、あるいはふるまい検知機能のある対策を選びたい。
次回はもう一つの大きな脅威であるフィッシングについて説明する。
○伊藤 利昭 Vade Secure株式会社 カントリーマネージャー
2020年1月に就任し、日本国内におけるVade Secureのビジネスを推進する責任者です。これまで実績を重ねてきたサービスプロバイダー向けのメールフィルタリング事業の継続的な成長と、新たに企業向けのメールセキュリティを展開するにあたり、日本国内のパートナーネットワークの構築に注力しています。Vade Secureは、AI(人工知能)を用いた脅威検出とその対応技術の開発に特化したグローバルなサイバーセキュリティ企業です。
2020年は、世界的な新型コロナウイルスによるパンデミックへの対策から、リモートワークが主流になった。サイバー犯罪者はそれに目を付け、リモートワーク環境を狙った攻撃を仕掛け始めた。その主要なものがスパム、フィッシングである。2020年はこれらの検知数が大きく増加し、2021年もこの傾向は継続していた。本連載では、2021年のスパムとフィッシングのトレンドと2022年の予測を紹介する。
2021年も引き続き、スパムとフィッシングが増加傾向にあった。これらは2020年の新型コロナウイルスのパンデミック以降に大幅に増加し、2021年5月からさらなる急増を見せた。2021年9月には、同5月の倍近くまで増加した。急増した要因には東京オリンピックの開催が挙げられるが、この状況は過去にも例がなかった。
スパムの送信元IPを国別で見ると、日本では国内から送信されたスパムは23%と4分の1を切っている。以下、ブラジル(14%)、米国(8%)、中国(6%)ロシア(6%)と続いた。フランスでは43%、米国では65%と、一般的には国内からの送信が最も多い傾向にある。日本は、さまざまな国から攻撃を受けているといえそうだ。
ちなみに、Vade Secure(以下、Vade)ではメール経由の主な脅威を「スパムボット」と「フィッシング」に大別している。スパムボットにはマルウェアが添付されたり、本文のリンク先がマルウェアサイトになっていたりするものもある。2021年にはランサムウェアが猛威を振るい、他のサイバー攻撃の一部として利用されるケースが目立った。
例えば、不正アクセスにより重要な情報を盗み出す際にランサムウェアを仕掛けて暗号化し、復号のために身代金を要求するだけでなく、盗み出した情報をサイバー攻撃者が用意した「暴露サイト」で公開すると脅す二重脅迫や三重脅迫も発生した。さらに2021年は、1月にテイクダウンされたマルウェア「Emotet」が復活し、大きな脅威となっていた。
スパムボットの特徴と動向
スパムボットはマルウェアの一種であるボットのように、ある程度自動化された送信を行う。スパムボットは多くのサイバー犯罪者が存在すると思われ、例えばドメイン名はランダムなものから誤認されやすいように工夫したものまでさまざまである。
ドメイン名とIPアドレスの組み合わせも定期的に更新されており、IPフィルタリングを回避しようとしている。また、ほとんどのスパムボットがURLにリダイレクトシステムを利用している。スパムボットのタイプは、「楽して稼ぐ詐欺(Easy Money)」と「出会い系詐欺(Dating)」に大別される。いずれも誘導先へのリンクのクリックや、アクセス後に連絡を取るなど、ユーザーのアクションが多いことも特徴となっている。
Easy Moneyの特徴
Easy Moneyは、簡単に大金を稼ぐ方法を提案する詐欺の一種である。さまざまなサービスをキャンペーン中として格安で利用できる、あるいはわずかな投資で数億円を稼げるといった内容のものが多く、メールマガジンやフォーラム登録の確認メッセージのように見えるテキストメッセージのみで、一つまたは複数のリンクが含まれている。正規のリンクが含まれているものもある。
メールの送信元は日本国内と米国が中心であり、URLのドメインは主にAmazonなど米国で管理されているものが多い。なお、ドメインにアクセスするとトップページがないことが多い。そしてURLは、韓国や香港をはじめさまざまな国のドメインにリダイレクトされる。本文にあるリンクは、悪意のURLを検知されないように「無意味な文字列」や「特殊文字」を利用するケースが多いことも特徴だ。
詐欺サイトで会員登録をすることでサービスを利用でき、キャンペーンが適用される。さらに複数のアクションをすることでポイントが付与される。しかし、サービスを利用するにはポイントが不十分であり、ユーザーはお金を払ってポイントを購入することになってしまう。決済方法はクレジットカードになるため、クレジットカード情報を盗まれてしまう。
●
Datingの特徴
Datingは、文字通りに出会い系サイトに誘導するスパムボットだ。主に女性からのメッセージコメントとURLリンクが記載されており、クリックするとリダイレクトされ、出会い系サイトが表示される。出会い系と検知されずにリダイレクトするため、ブログ用のホスティングサービスを利用するケースが多い。スパムボットメールで最初のURLを使い回すことも多く、Easy Moneyの特徴のサイトにリダイレクトされることもある。
最初のリンク先ドメインは日本のものがほとんどであるが、リダイレクト先で表示される出会い系サービスのドメインは香港、韓国、米国など世界各国の業者で管理されている。出会い系サービスそのものは実際に運用されているものであり、Easy Moneyと同様にサービス登録時にポイントが付与される。サービスでは女性とメールのやり取りが可能だが、メールの送信にポイントがかかり、やり取りを続けるためにはポイントを購入する必要がある。
スパムボットは基本的に「ばらまき型」のメールで、英語のものが多い。しかし、日本語のスパムボットも存在しており、違和感のない日本語のものも増えてきている。特に日本語のメールは、ユーザーの興味を持たせるためにメールタイトルや文面を工夫しており、うっかりリンクをクリックしてしまうこともあるので注意したい。
企業・個人がスパムボットに対し気をつけるべきこと
ユーザーを狙うスパムボットの多くは、セキュリティ対策ソフトで迷惑メールとして選別される。しかし、いろいろな手法によって検知をすり抜けるものもあり、これらは巧妙であるため機械的にも人の目にも安全であると認識されてしまう。うっかりアクセスしてしまうと、最終的にクレジットカード情報を悪用され、高額な請求が届くことになってしまう。
基本的には、企業では業務に関係のないメール、個人では利用しているサービス以外のメールは開かないようにすることが第一である。また、スパムボットはリンクのクリックが大前提となるので、フィルタリング機能を持つセキュリティ対策を実施しておきたい。しかも、URLやIPアドレスは短いサイクルで変わるため、最新のフィルタリング情報、あるいはふるまい検知機能のある対策を選びたい。
次回はもう一つの大きな脅威であるフィッシングについて説明する。
○伊藤 利昭 Vade Secure株式会社 カントリーマネージャー
2020年1月に就任し、日本国内におけるVade Secureのビジネスを推進する責任者です。これまで実績を重ねてきたサービスプロバイダー向けのメールフィルタリング事業の継続的な成長と、新たに企業向けのメールセキュリティを展開するにあたり、日本国内のパートナーネットワークの構築に注力しています。Vade Secureは、AI(人工知能)を用いた脅威検出とその対応技術の開発に特化したグローバルなサイバーセキュリティ企業です。
