is702

スパムメールから始まるウイルスの罠

スパムメール(迷惑メール)は、ウイルスの活動全体から見て、必要不可欠な役割を果たしています。最近確認されている攻撃のほとんどは、スパムメールを介して感染活動を行います。コンピュータのセキュリティを守るには、まずスパムメールへの対策をすることが重要だといえるでしょう。

スパムメール(迷惑メール)から始まる攻撃事例

金融機関を装いログイン情報を盗みウイルスをダウンロードさせる

アメリカの金融機関「CapitalOne」を模したフィッシング攻撃が確認されました。メールでフィッシングサイトに誘導し、ログイン情報を入力させそれを盗み取ります。また“デジタル証明書”をダウンロードするように指示しますが、実際はボットウイルス「ZBOT」です。
この攻撃の背後にいる犯罪グループは、同様の攻撃をアメリカの大手銀行「バンク・オブ・アメリカ」にも仕掛けました。このグループは、ワイルドカード化したドメインを用いることにより、スパムメールに表示されるドメインをカスタマイズしたり、すべてのIPアドレスを「Fast-Flux」化されたドメインに組み込んで捜査の目をくらましたりすることが報告されています。
Fast-Fluxとは、URLに対しIPアドレスを複数指定しておき、それらをボット化したコンピュータに割り当てることで、自らの存在を隠す手法です。

1.金融機関を装ったフィッシングメールが届く 2.偽サイトに誘導しログイン情報を盗む 3.デジタル証明と称してウイルスをダウンロードさせる

公共機関を装うメールでウイルス感染

アメリカ政府公社「連邦預金保険公社(Federal Deposit Insurance Corporation)」を装ったフィッシング攻撃が確認されました。メールのリンクをクリックして公社のWebサイトにアクセスし、自身の預金保険の補償内容を確認するよう促しますが、リンクをクリックすると、ウイルスがダウンロードされます。この攻撃と上記のCapitalOne攻撃は、同じ犯罪グループにより実行されています。

1.公共機関を装ったフィッシングメールが届く 2.ウイルスをダウンロードさせる

「オーダーメイド」したサブドメインの罠

メールに記載のURLが自在に変化し、自分の勤める会社のシステム管理者からお知らせメールを受信したように思い込んでしまう手法が確認されました。メールには、「サーバが更新されたので、みなさんのコンピュータも更新する必要がある」と説明し、リンクをクリックするように促します。このリンクは不正なものですが、サブドメインに対象となった会社のドメインが使われているため、受信者は疑うことなくクリックしてしまいます。

911アメリカ同時多発テロ事件の“真相”でウイルス感染

911アメリカ同時多発テロ事件におけるアメリカ国防省の陰謀についての報道を、ニュース配信会社のCNNが送信したように装ったメールが確認されました。このメール内のURLをクリックするとウイルスがダウンロードされ、そのウイルスがさらに複数のウイルスをダウンロードします。

YouTubeのマイケル・ジャクソンさん遺作を装う

マイケル・ジャクソンさんの遺作を悪用したスパムメールCNNを装ったメールは、別のものも確認されています。こちらは、「YouTube」サイト内にあるマイケル・ジャクソンさんの遺作「THIS IS IT」へのリンクをクリックするよう促します。しかし、URLをクリックすると、複数のWebサイトにリダイレクトされたのち、複数のウイルスに感染します。

Facebookの偽のお知らせメールで偽セキュリティソフト

SNS「Facebook」の偽のお知らせメールには、「安全対策のためにあなたのパスワードを変更した」と書かれていました。そして、添付のZIPファイルを開き、新しいパスワードを入手するように指示します。しかし、この添付ファイルは実際にはウイルスで、そこから偽セキュリティソフトFAKEAVをダウンロードします。

ダウンアドの攻撃を避けようとして偽セキュリティソフトの罠にはまる

ダウンアドのチェックツールを装って侵入する偽セキュリティソフト「Power-Antivirus-2009」今なお被害が続くダウンアドですが、このダウンアドへの感染を警告するメールから、偽セキュリティソフトFAKEAVへ誘導される例が確認されました。メールは、マイクロソフトを装い、ダウンアド(Conficker)の感染を確認するため、添付ファイルのチェックツールをコンピュータにインストールするよう促します。しかしこのツールは、偽のスキャン結果を表示し、偽セキュリティソフトを購入するように誘導します。被害者は、偽ソフトの購入金だけでなく、購入する際に用いられたクレジットカード番号等の個人情報も盗み取られます。

最新「Webからの脅威」事例

「Windows Live」ユーザーのパスワードが大量に流出!

2009年10月初め、「Windows Live」のパスワード情報が大量に流出していることが確認されました。少なくとも、1万人のユーザーの個人情報がWebサイト「Pastebin」上で発見されました。このWebサイトは、通常、プログラマーがソースコードを共有するために使われます。その後、最終的に流出したパスワードは2万件にも上り、その中には、「Google」や「Yahoo!」などの他のWebメールサービスのユーザー情報も含まれていました。

アドビ製品に対する新たなゼロデイ攻撃発生

「Adobe Reader」および「Acrobat」に対する新たなゼロデイ攻撃が確認されました。この脆弱性を利用することにより、最終的に、バックドア型ウイルスProtuxファミリがインストールされます。Protuxは、不正リモートユーザーが感染コンピュータに無制限に接続できるようにすることで知られています。この攻撃は、ウイルスを配布する手段として、サイバー犯罪者がPDFファイルを重要視しはじめていることを示唆しています。

アドビ製品の脆弱性を利用したWebサイト改ざん攻撃

インド、タイ、ニュージーランドなどの複数の正規Webサイトが改ざんされました。この攻撃でも「Adobe Reader」および「Acrobat」の脆弱性が利用され、アプリケーションがクラッシュして、感染コンピュータが不正リモートユーザーに乗っ取られることになりました。正規のWebサイトであっても、このように改ざんされ、ウイルスを配布する道具として利用されることがあるということを忘れてはなりません。

ロシアの複数のWebサイトが個人情報を収集する不正活動に利用される

サイバー犯罪者は、複数のロシアのWebサイトを標的にし、これらのWebサイトに関連しているようにみえる偽の“エージェントプログラム”を登場させました。エージェントプログラムは、利用者がブラウザを立ち上げなくても特定のWebサイトが提供するサービスを利用できるようにするアプリケーションです。この攻撃で用いられた偽プログラムのウィンドウは本物そっくりに作られており、ログイン情報を入力するように促します。サイバー犯罪者は、これらのログイン情報を収集することを目的としています。

スパムメールからウイルス感染に至る手順

今回、スパムメールから始まるウイルス感染事例をいくつか紹介しましたが、スパムメールからウイルス感染に至る基本的な手順は、以下の3つにまとめることができます。

  1. トリック:メールには、ファイルまたはリンクが貼られており、クリックするように促す内容が書かれています。受信者が迷わず次の手順に進むよう、説得力のあるトリックが使われます。
  2. ダウンロード:添付ファイル経由であってもURL経由であっても、利用者はファイルをダウンロードしてインストールするように促されます。URLにアクセスする場合、自分自身で気づかないうちにウイルスがダウンロードされていることもあります。
  3. 被害:インストールされたウイルスだけで大打撃を与えるものもありますが、多くは、より悪質なウイルスをダウンロードします。

最初の2つの手順については、利用者がなんらかの動作をしたことによって実行されるものです。このときに行動をしなければ、すなわちスパムメールを無視していれば、被害に遭うことはないのです。
正規のメールかどうかを判断するために、メールやインターネットの利用時には常に注意を払い、最新の脅威情報に目を通しておくことは、自分のコンピュータをさまざまな脅威から守ることに役立ちます。
もちろん、セキュリティソフトおよびその他のソフトウェアを最新の状態に保つことはいうまでもなく非常に重要です。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ