ウイルスニュース - 2007/8/27

■画像から添付ファイル型へ。スパムメール配信業者の発展

望まない広告の大量配信に端を発するスパムメールは、初期投資の低さから還元率の高いビジネスとして多くの配信業者を生んでいます。同時に、スパムメールをブロックしようとする利用者の動きから逃れようとさまざまなテクニックを生み出しています。
2006年ごろから、スパムメールは本文の内容をテキスト文字から画像に置き換えるという手法が流行しはじめました（画像スパム）。メール本文の内容を解析しスパムメール判定を行う（キーワードマッチング型）対策製品にとって、画像スパムはしばらくの間大きな脅威となっていました。スパムメール対策製品側は、画像スパムの脅威に対し複数の技術を用いることでフィルタリング精度を高めていきました。これにより、スパムメール配信業者にとって、画像スパムの有効性は次第に衰えていきます。
このような状況でスパムメール配信業者が打開策として発展させたテクニックが「添付ファイル（PDF/ZIPファイル）型スパムメール」です。

■添付ファイル（PDFファイル）型スパムメールの登場

2007年6月ごろから、告知したい内容をPDFファイルとしてメールに添付するスパムメールが登場しました。PDFファイルはアドビシステムズ社がその規格を制定し、オープンなファイルシステムとして広く知られているファイルフォーマットです。日本国内においても官公庁の各種書類のフォーマットとして採用されるなど、幅広く利用されています。そのため、PDFファイルは業務への支障を考慮すると、簡単にはブロックできません。新たな形態のスパムメールは、今までの対策を無力化してしまう可能性があり、解決を困難にしてしまいます。

■添付ファイル（ZIPファイル）型スパムメールの登場

2007年7月ごろ頃からは、新たにZIPファイル型スパムメールが登場してきました。ZIPファイル型スパムメールは、Excelファイルに告知したい内容を記載して、それをZIPファイルで圧縮してメールに添付する手法です。
ZIP ファイル型スパムメールが意図することは、PDFファイル型スパムメールと同様です。企業で使用を許可しなくてはならないファイルフォーマットを採用することで、対策製品によるブロック率の低下を期待しています。

■添付ファイル（PDF/ZIPファイル）型スパムメールの目的

トレンドラボ（※）の調べでは、2007年6月下旬における添付ファイル型スパムメールの占める割合は全体の5%に上っています。その新たな傾向として、従来のスパムメールの広告告知目的から、株価操作（Pump-and-Dump）へと目的が変わってきています。スパムメール配信業者は、格安銘柄を大量購入し、特定企業の業績に関する偽の情報の配信を行います。偽の情報により吊り上がった株価で売り抜けを行うことで従来よりも高い利益を得ることに成功しています。添付ファイル型スパムメールは、本文には文書記載があり、ランダムな件名/添付ファイル名が使われ、添付されるファイルの内容もその都度変更されることがあります。その結果、スパムメール対策製品による検出をより一層困難なものへと進化させ、その流通量を増やしています。添付ファイル型スパムメールは従来のスパムメールに比べ、比較的容量が多くなっています。このため、不要なメールを受け取るという脅威以外にメール遅延などネットワークへの影響も高まっています。

• トレンドラボについて

■トレンドマイクロの添付ファイル型スパムメールへの対応状況

トレンドマイクロでは、いち早くこれら新しい攻撃手法に対応しています。ウイルス対策によって培われた技術を活用し、添付されたファイルを開くことなく内容解析を行い、スパムメール判定を可能にしています。これにより、他のスパムメール対策製品と比較すると検索時間の短縮が期待でき、メール配送の遅延させずにスパムメールのブロックを実現することに成功しています。また、ZIPファイル（Excelファイル）に不正なマクロなどが付与されているような場合においても、その検出に対応することが可能です。さらに、ヒューリスティック技術でスパムメールの傾向を学習し、その属性をスコアリングすることを強化していきます。その結果、正当なメールに対する誤検出率を下げ、スパムメールの検出率を上げていくことに貢献します。現時点では、ZIPファイル型スパムに含まれるファイルはExcelファイルと非常に限られていますが、今後複数の形式へ拡大していくことを予測しています。トレンドマイクロでは、さまざまな新しい攻撃手法に対してヒューリスティック技術の更なる洗練をはかり、今後ますますスパムメール対策の有効性を継続していきます。