スパム業者がバックアップミスでデータベース全公開、13億件以上のメールアドレスを持ち1日に数億件のスパムを送りつけ荒稼ぎする実態が判明

スパムを送りつける業者(スパマー)が、うっかりとデータベースを公開してしまいました。データベースからは13億件以上ものメールアドレスや氏名を含むユーザー情報が見つかり、1日に10億件のスパムメールを送りまくっているなど、スパマーの悪行の実態が明らかになっています。

Spammergate: The Fall of an Empire - Blog - MacKeeper
https://mackeeper.com/blog/post/339-spammergate-the-fall-of-an-empire

Spammers expose their entire operation through bad backups | CSO Online
http://www.csoonline.com/article/3176433/security/spammers-expose-their-entire-operation-through-bad-backups.html

うっかりデータベースを公開してしまったスパマーは「River City Media(RCM)」というマーケティング会社。表向きは企業のマーケティング支援を主たる業務としていますが、実態は世界最大規模のスパマーです。

Mac OSを中心とするセキュリティー対策企業のMacKeeperと協力者のChris Vickery氏のチームは、2017年1月にRCMのデータベースが公開されていることに気付きました。Vickery氏によると、RCMはRsyncによるバックアップ作業でミスを犯したことが原因で、パスワードロックがかかっていない状態で1カ月近くもデータベースへのアクセスが可能な状態で放置されていたとのこと。これを見つけた Vickery氏は、RCMのデータベースからHipchatログ、ドメイン登録記録、詳細な会計情報、ビジネス計画、スクリプト、ビジネス上の提携先情報、そして13億4000万件にも及ぶメールアドレスや氏名を含む個人情報の入手に成功しました。

なお、チャットアプリHipchatのログからは、RCMのAlvin Slocombe氏が2017年2月初旬に異変に気付き、会社がハッキングされていると疑い12人いるメンバーに「過去に情報を保存した可能性のあるすべてのパスワードを変更するように」というメッセージを送っていたことがわかっています。その後、ハッキングされているのではなく、バックアップが公開されていることに気付きましたが後の祭りでした。

RCMのデータベースから見つかった13億件を超えるユーザーの個人情報には、実在するメールアドレス、氏名、IPアドレス、住所、アクセスしたサイトドメインなどの情報が含まれていました。Vickery氏は情報の真偽について解析を進めていますが、あまりの分量に作業は完了していない状況。しかし、一部情報からRCMの保有データが何らかの犯罪行為に関係していると判断したことから、保存データから影響を受けると見られるMicrosoftやYahoo.comなどの企業に情報を伝えると共に法執行機関に報告したとのこと。もちろん、RCMに対しては直接接触していないとVickery氏は述べています。

また、保存されていた文書からRCMがスパムを送りつけることで多額の報酬を得ていた事実も判明しています。以下の文書には、1800万人のGmailユーザーと1500万人のAOLユーザーをターゲットにしたスパム攻撃で1日に約3万6000ドル(約410万円)の報酬を得ていたことなどが記載されており、RCMがスパムで荒稼ぎしていた実態が明らかになっています。

なお、RCMは1日に最大で数十億件ものスパムメールを送っていたことが判明していますが、尋常ではない大量のメール送信をどのように行っていたかなどもログやスクリーンショットなどからわかっています。通常、一気に大量のメールを送信しようとすると受信側から閉め出されてしまいます。そこで、RCMではできるだけメールを分散させて送信するためにメールサーバーとできるだけ多くの接続を試みる技術を使っていたとのこと。さらに、例えばGmailの場合、スパム行為を検出したGmailサーバーが接続を放棄する準備が整う寸前を狙って可能な限りのメールを突如として送信するなどのシステムの穴を狙った手法などを駆使していたことが明らかになってます。

また、RCMはGmail、AOL、Hotmail、Yahooメールなどにウォームアップアカウントと呼ばれるダミーアカウントを作成して、まずこのウォームアップアカウントにスパムを送りつけて受信させていたとのこと。このウォームアップアカウントがスパム報告などを行わないことから、メールサービスプロバイダにスパマーであるRCMを「良好な送信者」と認定させることで、スパマー判定を受けるのを避けていたこともわかっています。

すでにVickery氏は法執行機関にRCMによる違法行為の疑いを報告しており、今後RCMの行為の全容が解明される可能性があります。13億件ものユーザーデータを使ってスパムを送りまくっていた世界有数のスパマーと考えられるRCMがサービスを停止することで、全世界的にスパムメールの量が減るのか興味深いところです。