セキュリティ専門家による最近の努力にもかかわらず、スパマーは再集結し、https://www.pcworld.com/article/id,154664/article.html?tk=rel_newsjunk メールを配信し続けています。
11月に不正なISP(インターネットサービスプロバイダー)がhttps://www.pcworld.com/article/id,153734/article.html?tk=rel_newsをリリースしたことで、スパムのレベルはほぼ半減しました。しかし、一部の新しいボットネットや、さらに古いボットネットは、より多くのスパムを生成しています。
「現在のペースでいくと、おそらく今後3~5週間以内に、マコロ捜査以前のレベルに戻るだろう」と、Postiniとしても知られるGoogle Message Securityのシニアプロダクトマーケティングマネージャー、アダム・スウィドラー氏は語った。
Googleは月曜日、McColoがオフラインになって以来、スパムが156%増加したと発表した。McColoは、PCにスパム送信を指示するボットネットのコマンド&コントロールサーバーをホストしていた。ボットネットには、Rustock、Srizbi、Pushdo/Cutwail、Mega-D、Ghegなどが含まれていた。
McColoの閉鎖は、世界のスパムの大部分を送信していると非難されていたhttps://www.pcworld.com/article/id,157915/article.html?tk=rel_newsのほぼ全てを解決しました。しかし、他のボットネット(スパム送信用にハッキングされたコンピューターの集合体)がその穴を埋めつつあります。
シマンテック傘下の電子メールセキュリティ企業MessageLabsによると、Mega-D(別名Ozdok)は少なくとも66万台のPCで構成されている。Mega-Dに感染したPCは、平均して1日あたり589,402通、つまり1分あたり約409通ものメッセージを送信している。合計すると、Mega-Dは1日あたり380億通ものメッセージを送信していることになる。
メッセージラボが月曜日に発表した最新の統計によると、今月は全メールの74.6%がスパムで、12月比4.9%増加した。スパムの割合は、スパム統計を収集するためにベンダーのサービスを利用しているPCの台数によって異なる。
「過去 2 か月間で着実な増加が見られました」とシマンテックの MessageLabs インテリジェンス アナリスト、ポール ウッド氏は述べています。
ウッド氏によれば、メッセージラボでは、マコロがダウンした際にスパムメールが全電子メールの約58%に減少したが、12月には約69%に増加したという。
スパム業者も、自分のメッセージがブロックされないように戦略を変えている、とスパム対策団体SpamhausのCIOリチャード・コックス氏は言う。
コンピュータがスパム送信用のコードに感染すると、そのPC上にメールサーバーが設定され、そこからインターネットに直接スパムが送信されます。しかし、そのコンピュータがスパムを送信していることが検知されると、認証されていないメールを送信すべきではないエンドユーザーのIP(インターネットプロトコル)アドレス範囲のブロックリストに追加されます。
コックス氏によると、スパマーは代替手段として、ユーザーのISPを検出し、そのISPを経由してメールをルーティングするプログラムを使用している。これにより、リストとの照合時にブロックされることを回避できる。しかし、後から他の検出方法や分析を行うことで、スパムメールをブロックすることは可能だ。
コックス氏は、ISPは現時点ではそのような不正行為を阻止するための「十分な体制が整っていない」と述べた。さらに、多くのISPは、不正行為の報告があった際に迅速に対応できるセキュリティ担当者を常駐させていないと付け加えた。
Spamhausは現在、現在蔓延しているボットネットの一部にコマンド&コントロールサーバーをホストしているISPを追跡中です。Cox氏は、これ以上の情報は公開できないと述べました。
McColoの閉鎖は、ワシントン・ポスト紙の報道とコンピュータセキュリティアナリストからの圧力を受けて行われた。McColoは児童ポルノをホストするウェブサイトと関連付けられていたものの、McColoの上流プロバイダーがMcColoをインターネットから遮断したのは、法執行機関ではなく研究者コミュニティの圧力によるものだった。McColoのサーバーは米国にあったものの、運営者とみられる人物はおそらく海外にいたと思われる。
(サンフランシスコのロバート・マクミランがこのレポートに貢献しました。)
