3 月の 10 日間で、何百万人もの人が同じ大規模なスパム キャンペーンに巻き込まれました。
各メールは受信者が知っている人物から送信されたように見えました。スパマーは盗んだメールアドレスとパスワードを使い、静かに受信者のメールアカウントにログインし、最近送信されたメールをスクレイピングし、減量薬やビットコイン詐欺を勧める偽サイトへのリンクを貼ったパーソナライズされたメールを受信者に送りつけました。
メールは非常に説得力があったため、10万人以上がクリックしました。
セキュリティ研究者がサーバーからすべての操作が漏洩していることを発見したため、このことが分かりました。スパマーはパスワードの設定を忘れていたのです。
セキュリティ研究者のボブ・ディアチェンコ氏は、漏洩データを発見し、TechCrunchの協力を得てサーバーを分析しました。発見時点では、スパマーの攻撃装置は既に稼働していませんでした。攻撃装置は任務を終えており、スパマーはおそらく別のサーバーに移動したと考えられます。おそらく、スパム対策プロバイダのブラックリスト入りを避けるためでしょう。しかし、サーバーは再びスパム攻撃を開始する準備が整っていました。
このスパマーのサーバー(ホストは )には、300万件を超える固有の認証情報が漏洩していたためintelimost.com、できるだけ早くデータを確保したいと考えました。スパマーの連絡先情報がないことから(驚くべきことに)、ホスティングプロバイダーのAwknetにサーバーのオフライン化を依頼しました。連絡から数時間以内に、プロバイダーはサーバーのルートを無効にし、すべてのネットワークトラフィックをシンクホールに送り込みました。
TechCrunchはデータベースのコピーをTroy Hunt氏に提供しました。誰でも、侵害通知サイト「Have I Been Pwned」で自分のメールアドレスが不正利用されていないか確認できるようになりました。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
しかし、休止状態のサーバーは、まだ稼働中だったため、スパム活動の仕組みを理解する貴重な機会となった。
唯一入手できなかったのは、スパムメールそのものだった。数十人に連絡を取り、受け取ったメールについて尋ねてみたところ、2人から返信があったものの、メールのコピーをまだ持っていたのは1人だけだった。
「同じメールが3回も届きました」と、受信者の1人がTechCrunch宛てのメールで述べています。「件名は、私が以前その人に送ったメールに関連していたので、攻撃者は明らかにその人のメールボックスかメールサーバーにアクセスしていたのです」と被害者は述べています。
このメールをクリックすると、受信者はIPアドレスに基づいて所在地を特定するため、複数のウェブサイトを次々に閲覧することになります。受信者が米国在住の場合、偽の健康法を宣伝する偽のCNNサイトに誘導されます。今回の場合、スパマーは英国在住者をターゲットにしており、ほとんどの受信者はビットコイン詐欺を宣伝する偽のBBCページに誘導されました。
スパマーは他にもサーバーを所有していましたが、それらは私たちが把握していませんでした。しかし、公開されたサーバーからは、攻撃活動の多くの仕組みや仕組みが明らかになりました。Elasticsearchデータベースを稼働させていたこのサーバーは、十分な記録が残されていたため、受信者に送信された3通のスパムメールのうち1通を発見することができました。
このエントリだけでも、スパム操作がどのように機能したかについて多くのことがわかります。
仕組みはこうです。スパマーは@btinternet.com盗んだメールアドレスとパスワードを使って被害者のメールアカウントにログインします。詐欺師は被害者のメールサーバーから最近送信されたメールを取得し、それを別のサーバー(例えば、inbox87.hostand viewmsgcs.live)に送り込みます。このサーバーは、パーソナライズされたスパムメールを生成する役割を担っています。このスパムメールには、送信メールの件名とターゲットの受信者のメールアドレスが組み込まれ、あたかも実在の人物から送信されたかのように見せかけます。
メッセージの送信準備が完了すると、メールの送信元を隠すために設計されたプロキシ接続を介して送信されます。プロキシサーバーは複数の携帯電話で構成されており、各携帯電話は携帯電話回線を介してインターネットに接続します。
各スパム メッセージはいずれかの電話を経由してルーティングされ、検出やスパム送信者としてのフラグ付けを回避するために、IP アドレスが定期的に変更されます。
プロキシ サーバーは次のようになります。
スパム メッセージがプロキシ サーバーから送信されると、そのスパム メッセージは被害者の電子メール アドレスとパスワードを使用して被害者自身の電子メール プロバイダーにプッシュされ、電子メール プロバイダーと受信者の両方にとって本物の電子メールのように見えます。
これを 1 秒間に何百回も繰り返すことを想像してください。
スパマーのElasticsearchデータベースが漏洩しただけでなく、Kibanaのユーザーインターフェースも公開されました。これにより、スパマーは活動の詳細を一目で把握することができました。その詳細度は非常に高く、どのスパム送信ドメインが受信者を騙してスパムメール内のリンクをクリックさせるのに最も効果的だったかが一目でわかるほどでした。
各スパムメールのリンクにはトラッカーが含まれており、その情報がスパマーにフィードバックされます。これにより、スパマーはどのメールドメイン(例えば、ユーザーoutlook.comなどyahoo.com)がスパムメールをクリックする可能性が高いかを把握できます。また、これはメールプロバイダーのスパムフィルターの動作を示唆することもあります。クリック数が多いほど、スパムメールが通過する可能性が高くなり、スパマーは将来的に特定のメールドメインを狙うことができます。
ダッシュボードには、スパムキャンペーンに関連するその他の情報も含まれていました。例えば、正常に送信されたメールの数やバウンスしたメールの数などです。これにより、スパマーは将来的に最も価値の高いログイン情報に狙いを定め、帯域幅とサーバーコストを抑えながらより多くのスパムを送信できるようになります。
ダッシュボードのデータによると、3月8日から3月18日までの10日間のキャンペーン期間中に合計約510万通のメールが送信され、約16万2980人がスパムメールをクリックしたという。
スパム行為が行われているのを目にするのは今回が初めてではないが、これほど成功しているのを見るのは珍しい。
「今回のケースは、私が過去に何度か報じた事例を思い出させます。悪意のある行為者が高度なプロキシとログ記録のシステムを構築し、今後の捜査で当局がパターンを特定できるよう、膨大な痕跡を残すのです」とディアチェンコ氏はTechCrunchに語った。「これは、適切なサイバー衛生がいかに重要であるかを、改めて示しています。」
明らかなのは、スパマーが自分の痕跡を隠す方法を知っているということです。
Kibanaインスタンスの言語設定から、スパマーはベルギーを拠点としている可能性が示唆されました。サイバー脅威インテリジェンス企業RiskIQが収集したデータを用いて、関連するスパムドメインをいくつか発見しました。RiskIQはWeb上で情報収集を行っています。発見したドメインはすべて、偽名と偽のアドレスで登録されていました。
サーバー自体に関しては、プロバイダーはハッキングされた可能性があると述べています。
「これは転売されたボックスで、顧客はすでにこの悪質な転送に対して、ずっと前に終了されるはずだったと返答している」とAwknetのジャスティン・ロバートソン氏はTechCrunchへのメールで述べた。
スパムメールの送信に使用されたメールアドレスとパスワードの出所は依然として不明です。Have I Been Pwnedに登録されていたメールは全体の45%に過ぎず、すべてのパスワードがクレデンシャルスタッフィングによって盗まれた可能性は排除されています。
ホスティング プロバイダーがスパマーのサーバーをオフラインにしたため、スパム キャンペーンに関連する偽のサイトやドメインのいくつかは読み込まれなくなりました。
しかし、この攻撃キャンペーンを支えているドメインやサーバーの広がりを考えると、このサーバー障害は、現在も継続中のスパム攻撃キャンペーンにおける単一の犠牲者に過ぎないのではないかと考えられる。
情報をお持ちですか?SignalとWhatsAppを使って、+1 646-755–8849まで安全に情報を送信できます。また、フィンガープリントを記載したPGPメールも送信できます:4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5