Proofpoint Threat Report May 2013 本レポートは Proofpoint が注目し お客様および一般企業に対して注意を喚起したいと考えている脅威に関する情報 詳細 トレンドなどをまとめたものです Threat Models ( 手法 ) 単一の攻撃が悪意のあるメッセージを大量に送信し 世界規模で総数が急増 Proofpoint の研究者は 5 月中旬 10 日間にわたる悪意のあるメッセージの急増を観測しました 5 月 13 日月曜日には 11,733 通の悪意のあるメッセージを確認しましたが 翌週の火曜日には 2,411,688 通が記録されました たった 8 日間で 20,000% の増加です 下の表は悪意のあるメッセージ量を日次で示した推移です 百万 3.5 3.0 2.5 2.0 1.5 1.0 0.5 0.0 Two Week Trend of Malicious Mail threat protection compliance archiving & governance secure communication THREAT REPORT
最初の兆候は 5 月 16 日に現れ 週末に向けて同じレベルのメッセージ量が観測されています 5 月 20 日月曜日 悪意のあるメッセージの量が 60 万通/日から 180 万通/日へ急増しました 翌火曜日に はさらに増え 少し平衡状態を保った後 金曜日にはついにピークを迎え 290 万通/日を記録しました 攻撃は週末にかけて徐々に減りながらも継続しました メッセージ量は 26 日の日曜日にやっと以前の 水準に戻り この日のメッセージ量は 30,563 通でした 以下に悪意のあるメッセージのサンプルを示します Proofpoint が発見した新しい大規模標的型攻撃 である はえ縄型攻撃 に特有のメッセージで 本文は最小限です 一行のテキストとひとつの URL だ けでした このリンクは以下のサイトに誘導します: [2] 2013 Proofpoint, Inc. Proofpoint is a trademark of Proofpoint, Inc. THREAT REPORT
詳しく分析してみると このランディングページには URL が埋め込まれていましたが 常にこの URL が見つかるわけでは無く 一定していないことがわかりました Redkit エクスプロイトキットを埋め込ん だサイトへのリダイレクションを有効にしたり無効にしたりしているのです この攻撃全体のボリュームは非常に大きく 5 月 21 日一日分のボリュームは以下の通りです : メッセージ総数 : 9,337,955 使われた URL: 2,667 使われた送信者アドレス : 3,341 使われた送信 IP: 50,314 送信元 IP の分布を地図で見ると以下の様になります 発信源はベラルーシ マルウェアに広く門を開いている国です 興味深いことに ベラルーシは今年の 3 月にスパムランキングのトップ 8 中 5 位に入っています しかし 2012 年は一度も 13 位よりも上位になったことはありませんでした 今年の 4 月には 3 位に浮上しています 新規のボットネットや犯罪組織が新たに拠点を築いたようです 今月の順位はこのレポートの最後にある国別スパム発信量のランキングをご覧ください Wallmart 攻撃 5 月中旬 正確には 5 月 15 日と 16 日に Walmart ブランドを騙った偽の注文メールを使った大規模な はえ縄型攻撃 が行われました この攻撃は洗練されたソーシャルエンジニアリングの手法を取り入れており URL の使用方法にも特徴があります 即ち よく知られたブランドを使い 餌として複雑なメールを使っていること そして URL のランダム化技術を使っていることです [3]
Walmart は世界的なブランドで小売業として何年もの間首位を維持しており 多くの人が名前を知っています こういった有名ブランドをフィッシングの餌に使うのは目新しいことではありません いくつか例をあげると CNN Apple そして最近ではアメリカ合衆国内国歳入庁 (IRS) も餌に使われました 有名ブランドを使う目的は ユーザーが偽メールを信じやすくするためです Walmart と聞くと 私たちは有名で安心できる企業と思い 警戒を解きます 心理学者や攻撃者は 学問的な研究や経験から 認知と信頼はソーシャルな対話 ( リアルでもバーチャルでも ) において非常に効果的であることを証明しています 心理学的な知見に基づき 攻撃者は時間をかけて周到に餌を準備します Walmart を使うのは第一歩に過ぎません 餌メールは 3D ハイビジョンテレビの注文に関するもので 受信者の興味を引かずにはいません メッセージのサンプルは以下の様なものです [4]
メッセージは本物らしく見えます レイアウトや詳細な配置は正確で ユーザーは違和感を覚えません オーダー番号も本物のように見えます 実際にはこの番号はメール毎にランダムに生成されており メッセージの件名と本文に同じ番号が含まれています Walmart のリンクは全て本物の walmart.com サイトにリンクされています ところが Returns Policy と Customer Service だけはエクスプロイトキットをホストしている Web サイトにリンクされています 攻撃者は次の 2 種類の反応を予測しているのでしょう ひとつは 配送日について確認しよう もうひとつは 頼んだ覚えは無い 何かの間違いでは? というものです 非常に高度なソーシャルエンジニアリングがこの攻撃に隠されていることがわかります このメールの唯一のミスは From: フィールド ( この画面には見えていません ) と本文の左上にある Wallmart という文字で 本来 Walmart であるべきところ L が 2 つ続いています この小さな間違いがあっても この攻撃はこれまでで最もクリーンで洗練されたものだということができるでしょう 攻撃の巧妙さは URL にも現れています まず Returns Policy と Customer Service からリンクされている悪意のある URL はランダム化されています 一部を以下にリストアップします : http://35gp.by/wallmart.html http://adacikhaber.com/wallmart.html http://aitstudio.pl/wallmart.html http://ams-consultants.fr/wallmart.html http://atletismomajadahonda.es/wallmart.html http://aupredufourneau.fr/wallmart.html http://azeffoun.info/wallmart.html http://blackwoodchronicles.com/wallmart.html http://bodysoulnn.ru/wallmart.html http://carpetcleaning-wimbledon.co.uk/wallmart.html http://chtdistribution.com/wallmart.html http://commercialkitchenhire.com.au/wallmart.html http://corpanp.org/wallmart.html http://dissovet.imise.ru/wallmart.html http://domencom.com/wallmart.html http://expresskredit.net/wallmart.html http://genclikgelisim.org/wallmart.html http://gstincorp.com/wallmart.html http://hero-mt2.com/wallmart.html http://hypnose-reussite.com/wallmart.html http://intek-pro.ru/wallmart.html http://izrinabayu.com/wallmart.html http://juicesaladsoup.com/wallmart.html http://jumeaux34.fr/wallmart.html http://kvazar-mk.ru/wallmart.html http://liguedesflandresdetennis.fr/wallmart.html http://mastergroup-kazan.ru/wallmart.html http://maxsonautomatic.com/wallmart.html [5]
全ての URL が Wallmart.html で終わっています さらに 全てのランダム化された URL はさらなる難読化のため 3 つの Web サイトのうちどれかにリダイレクトされています 3 つのサイトはクライアントの Adobe Reader Flash Player Java あるいは Internet Explorer の脆弱性を狙う Blackhole エクスプロイトキットを含んでおり このうち適切なものがダウンロードされます この攻撃は高度なソーシャルエンジニアリングが特徴です Walmart という世界的ブランドを使い 偽メールは洗練されレイアウトまで精巧に似せられており 悪意のある URL の配置も巧妙です URL のランダム化とリダイレクトは 最新の攻撃の特徴を浮き立たせています Threat News ( ニュース ) もう一つのツイッターアカウント侵害 スピアフィッシングメッセージへの誘導 Onion がハッカー集団 Syrian Electric Army に攻撃されました 先月 Associated Press (AP) のツ イッターアカウントが乗っ取られたのと同じ手法で Onion のアカウントをコントロール下に置いたのです その後数人の Onion の従業員にスピアフィッシング攻撃を仕掛けました ソーシャルエンジニアリングの技法も模倣しており 信頼性の高いサイトのニュース記事へのリンクをレポーターに送っていました そのサイトは Google Apps のユーザー名とパスワードを必要としており これは古くからあるやり口です 乗っ取られた Gmail のアカウントはツイッターのアカウントに直接関連づけられていました Onion についての詳細な記事は以下でご覧頂けます : http://theonion.github.io/blog/2013/05/08/how-the-syrian-electronic-army-hacked-the-onion/ [6]
オープンソースの Web サーバーにバックドアの仕掛け Register 誌が報じたところによると 今年 4 月 オープンソースの Web サーバーとして広く使われている Apache にバックドアが仕掛けられているのをセキュリティ研究者達が見つけたと言うことです このバックドアは Blackhole エクスプロイトキットをホストする悪意のある Web サイトにリダイレクトさせるもので サーバーログに痕跡を残しません これでは Web サーバーの管理者には見つけることができません 記事では 400 もの Web サーバーがマルウェアに感染しており そのうちの 50 サイトは Alexa の 人気サイト 10,000 に含まれています 記事の詳細は以下で確認することができます : http://www.theregister.co.uk/2013/05/08/cdorked_latest_details/ Threat Trends ( トレンド ) Spam Volume Trends ( スパム量のトレンド ) スパム量は悪意のある またはその他のタイプのメッセージとは別に集計されます 5 月は月の始めと終わりにスパム量の急増が見られ ピークは 20 日の週の 1,200 万通でした 2013 年初めからのパターンは月中にピークがあって月末へ向けて減っていくというパターンでしたが 5 月はそれと対照的です 百万 14 12 10 8 6 4 2 Overall Message Volume - May 2013 0 5/1 5/6 5/11 5/16 5/21 5/26 5/31 月間スパム量は年間の最多数を更新しました 同じレベルのスパム量は 2011 年末に見られ たものが最後で それ以来と言うことになります 4 月から 5 月はスパム量が 11.17% 増加し ました 4 ヶ月連続で 2 ケタの増加です 前年同月比でも 45.11% の増加となりました [7]
百万 14 12 Overall Message Volume - May 2012 to May 2013 10 8 6 4 2 0 May- 12 Jun-12 Jul-12 Aug-12 Sep-12 Oct-12 Nov-12Dec-12 Jan-13 Feb-13Mar-13 Apr-13 May- 13 Phish Classification Trends ( フィッシング分類のトレンド ) 30 Percentage of Phish - May 2013 25 20 15 10 5 0 5/1 5/2 5/3 5/4 5/5 5/6 5/7 5/8 5/9 5/10 5/11 5/12 5/13 5/14 5/15 5/16 5/17 5/18 5/19 5/20 5/21 5/22 5/23 5/24 5/25 5/26 5/27 5/28 5/29 5/30 5/31 Proofpoint MLX および Targeted Attack Protection によってフィッシングに分類されたメッセージの割合は一貫して増えています 4 月の 2 つに続いて 5 月には 3 つのピークが見られ この 3 つのピークではフィッシングメールの数が総メッセージ数の 20% に達しました 第 4 のピークとなる 5 月 16 17 日には 20% にわずかに及びませんでした [8]
Spam Sources by Country ( スパム発信源 ) スパム発信源として 2013 年 5 月も EU が首位の座を守りました アメリカは 2 位です ベラルーシは 8 位に後退しましたが まだトップグループにいます 台湾がベラルーシに代わって 3 位に浮上しました 以下のグラフはスパム発信量上位の国の過去のトレンドを月ごとに示したものです 1 2 3 4 5 6 7 8 Korea Russia India Brazil EU Ukraine Vietnam UK Taiwan Indonesia USA Romania Belarus Pakistan China Philippines Spain Poland Saudi Arabia Turkey Colombia Peru Mexico Kazakhstan Argentina [9]
下の表は 4 月と 5 月のスパム発信量 ( 総数に対しての割合 ) の上位 8 カ国です April 2013 May 2013 1 EU 8.60% 1 EU 6.86% 2 USA 7.60% 2 USA 6.46% 3 Belarus 6.10% 3 Taiwan 5.32% 4 India 5.00% 4 Spain 4.76% 5 Spain 4.00% 5 China 4.10% 6 China 3.70% 6 India 4.00% 7 Taiwan 3.60% 7 Argentina 3.73% 8 Argentina 3.10% 8 Belarus 3.73% Proofpoint, Inc. 892 Ross Drive, Sunnyvale, CA 94089 Tel: +1 408 517 4710 www.proofpoint.com [10] 2013 Proofpoint, Inc. Proofpoint is a trademark of Proofpoint, Inc. THREAT REPORT