is702
ニュース

1台のスパムボットが月25万通を送信、ボットネットへの“潜入捜査”で判明

2017/03/07

トレンドマイクロは3月6日、公式ブログで「国内ネットバンキングを狙うマルウェアスパムボットネットに『潜入調査』」と題する記事を公開しました。

サイバー犯罪者は、マルウェア(不正プログラム,ウイルス)を拡散させるため、メールでダウンローダやマルウェアを送りつける「マルウェアスパム(ウイルス付迷惑メール)」をいまだに活用しています。たとえばトレンドマイクロは、マルウェアスパムの集中的な(一度に検出台数400件以上の)拡散を、2016年だけで80回以上確認したとしています。そして、こうしたスパムメールを送信するインフラとして、「ボットネット」が利用されています。今回トレンドマイクロは、こうしたボットネットに“潜入調査”を行いました。

国内ネットバンキングを狙った最近の攻撃としては、オンライン銀行詐欺ツール(ネットバンキングを狙うウイルス)「URSNIF」(アースニフ)があげられます。調査に当たってトレンドマイクロはまず、「URSNIF」を拡散させるためのマルウェアスパムから、配信元のボットネットをつきとめました。

最初の手掛かりとしたマルウェアスパムでは、ダウンローダ「BEBLOH」(ベブロー)が使用されていました。これに対しトレンドマイクロが監視を行ったところ、「URSNIF」ではなく、別のダウンローダである「PUSHDO」(プッシュドー)が「BEBLOH」によりダウンロードされ、最終的にスパムボット「CUTWAIL」(カットウエイル)をダウンロードすることが確認されました。

そして、「CUTWAIL」によるスパムボットのネットワークを継続監視したところ、1台のスパムボットに対し、1カ月の間に、50種類以上のスパムメールのテンプレートが送られていることが確認されました。これらのテンプレートで使用される宛先リストは、1つのテンプレートで1回あたり数千件単位であることも確認されました。こうした情報をもとに試算すると、1台のスパムボットから、月25万通のメール送信が行われることとなります。

ボットネットは、日本だけを狙っているわけではなく、同時に世界各国へのメール攻撃も行っています。たとえば、日本向けの「BEBLOH」に対しイタリア向けは「ZBOT」を使うなど、送信先により添付するマルウェアが異なることも判明しました。

日本を標的にしたマルウェアスパムは、今後も続くと考えられます。また受信者の興味を引き添付ファイルを開かせる手口は常に変化しています。不用意に添付ファイルを開かないよう注意するとともに、セキュリティソフトを活用してください。



「URSNIF」を拡散させるための日本語マルウェアスパム例<br /><br />

「URSNIF」を拡散させるための日本語マルウェアスパム例


  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ