7億1100万件という巨大な電子メールアカウント情報のリストを持つスパムボットが発見されているという。
Benkowというハンドルネームで知られる、パリ在住のセキュリティ研究者は、オランダにある誰でもアクセス可能なウェブサーバに、電子メールアドレス、パスワード、スパム送信に使用する電子メールサーバの巨大なリストを収めたテキストファイルが数十件保管されているのを発見したという。
これらの認証情報は、スパム送信者が大規模なマルウェア拡散キャンペーンを実施する際、送信に正規の電子メールサーバを使用して、スパムフィルタを回避するための要となる。
この「Onliner」と呼ばれるスパムボットは、バンキングマルウェア「Ursnif」を世界中に拡散するために使用されている。Benkow氏は米ZDNetの取材に対し、これまでに世界で10万件以上の感染が確認されていると話している。
自分の個人情報が流出しているかどうかを確認できるサイト「Have I Been Pwned」を運営するTroy Hunt氏は、これは「たじろぐほどの量のデータ」だと表現している。
Hunt氏はデータを分析して明らかになったことをブログ記事で説明しているが、その中で、今回のデータはこれまでに同サイトに収録された中で、最大のデータだと述べている。
Ursnifについて何カ月も調査を続けてきたというBenkow氏も、明らかになったことを説明するブログ記事を公開している。研究者によれば、Ursnifはログイン情報、パスワード、クレジットカード情報などの個人情報の収集に使用されるトロイの木馬だ。スパム送信者は概して、一見通常の添付ファイルに見える「ドロッパー」ファイルを送信する。受信者が添付ファイルを開くと、マルウェアがサーバからダウンロードされ、マシンが感染する。
スパムメールは今でもマルウェアの拡散方法として有効な手段ではあるが、最近では電子メールフィルタが進化してきており、過去にスパムの送信に使われていたドメインの多くがブラックリスト化されている。
しかしOnlinerは、スパムフィルタを回避するために洗練された手法を使用している。
Benkow氏はブログ記事で、「攻撃者はスパムを送信するために、SMTPの認証情報の巨大なリストを必要とする」と述べている。この認証情報は、スパム送信者が正規のメッセージに見せかけたメールを送信する際の認証に使われる。
「使えるSMTPサーバを多く見つければ、それだけスパムを広く拡散することができる」と同氏は言う。
Benkow氏の説明によれば、今回見つかった認証情報のリストには、LinkedInなどがハッキングされて漏えいした情報などからかき集められたもののほかに、出所不明の情報も含まれている可能性がある。リストには、電子メールアドレス以外に、パスワードと、電子メールの送信に使用するSMTPサーバとポート番号も記されているアカウント情報が約8000万件含まれているという。スパム送信者は各サーバに接続して、認証情報が正確で、実際にスパムを送信できるかをテストし、使用できないアカウントは無視される。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」