7億件超の電子メールアドレスのリストを持つスパムボット--研究者報告 - (page 2)

　この8000万の電子メールサーバは、残る6億3000万件の標的に電子メールを送信するのに使用される。このメッセージは、マルウェアを送りつけるのに最適なターゲットを発見できるように設計されており、「フィンガープリンティング」メールの手法が使われているという。

　この電子メールは無害に見えるが、中に隠れたピクセルサイズの画像が含まれている。メールを開いてこの画像が表示されると、受信者のIPアドレスとユーザーエージェントの情報が送信され、この情報が、コンピュータの種類やOSなどをはじめとする、デバイスに関する情報を特定するために使われる。攻撃者はこれによって、誰をUrsnifのターゲットにすべきかを判断する。iPhoneやAndroidのユーザーはUrsnifの影響を受けないため、特にWindowsマシンがターゲットに選ばれる。

　Benkow氏は、マルウェア拡散キャンペーンの成功には、ターゲットの絞り込みが重大な役割を果たすと説明する。

　同氏は米ZDNetに対して、「あまり大規模に実施すると、キャンペーンが目立ちすぎる可能性がある。例えば『Dridex』がその例だ」と述べている。「キャンペーンが目立ちすぎると、警察機関に追われることになる」

　Benkow氏の説明によれば、攻撃者が100万件の「フィンガープリンティング」スパムメールを送信しても、反応が返ってくるのはその一部にすぎないが、それでも第2弾として、ターゲットを絞り込んだマルウェア付きのメールを数千件送れるだけの反応を得られるという。

　これらの電子メールは、数日後から数週間後に送信されることも多い。メッセージはデリバリーサービスやホテル、保険会社などからの請求書を装っているが、悪質なJavaScriptのファイルが添付されている。

　「これはかなり賢いやり方だ」と、Benkow氏は認める。

　データを処理したHunt氏によれば、リストにあった電子メールアドレスの27％は、すでにHave I Been Pwnedに収録されているという。ただし同氏は、データはウェブからかき集められたものだが、その一部は正しい形式ではないデータだと指摘している。また同氏は、7億1100万件という数字は技術的には正しいが、人間が対象となったデータの数は幾分少ないと述べている。

　このデータは、すでにHave I Been Pwnedのサイトで検索できるようになっている。