2009/12/10
スパムメール(迷惑メール)は、ウイルスの活動全体から見て、必要不可欠な役割を果たしています。最近確認されている攻撃のほとんどは、スパムメールを介して感染活動を行います。コンピュータのセキュリティを守るには、まずスパムメールへの対策をすることが重要だといえるでしょう。
アメリカの金融機関「CapitalOne」を模したフィッシング攻撃が確認されました。メールでフィッシングサイトに誘導し、ログイン情報を入力させそれを盗み取ります。また“デジタル証明書”をダウンロードするように指示しますが、実際はボットウイルス「ZBOT」です。
この攻撃の背後にいる犯罪グループは、同様の攻撃をアメリカの大手銀行「バンク・オブ・アメリカ」にも仕掛けました。このグループは、ワイルドカード化したドメインを用いることにより、スパムメールに表示されるドメインをカスタマイズしたり、すべてのIPアドレスを「Fast-Flux」化されたドメインに組み込んで捜査の目をくらましたりすることが報告されています。
Fast-Fluxとは、URLに対しIPアドレスを複数指定しておき、それらをボット化したコンピュータに割り当てることで、自らの存在を隠す手法です。
アメリカ政府公社「連邦預金保険公社(Federal Deposit Insurance Corporation)」を装ったフィッシング攻撃が確認されました。メールのリンクをクリックして公社のWebサイトにアクセスし、自身の預金保険の補償内容を確認するよう促しますが、リンクをクリックすると、ウイルスがダウンロードされます。この攻撃と上記のCapitalOne攻撃は、同じ犯罪グループにより実行されています。
メールに記載のURLが自在に変化し、自分の勤める会社のシステム管理者からお知らせメールを受信したように思い込んでしまう手法が確認されました。メールには、「サーバが更新されたので、みなさんのコンピュータも更新する必要がある」と説明し、リンクをクリックするように促します。このリンクは不正なものですが、サブドメインに対象となった会社のドメインが使われているため、受信者は疑うことなくクリックしてしまいます。
911アメリカ同時多発テロ事件におけるアメリカ国防省の陰謀についての報道を、ニュース配信会社のCNNが送信したように装ったメールが確認されました。このメール内のURLをクリックするとウイルスがダウンロードされ、そのウイルスがさらに複数のウイルスをダウンロードします。
CNNを装ったメールは、別のものも確認されています。こちらは、「YouTube」サイト内にあるマイケル・ジャクソンさんの遺作「THIS IS IT」へのリンクをクリックするよう促します。しかし、URLをクリックすると、複数のWebサイトにリダイレクトされたのち、複数のウイルスに感染します。
SNS「Facebook」の偽のお知らせメールには、「安全対策のためにあなたのパスワードを変更した」と書かれていました。そして、添付のZIPファイルを開き、新しいパスワードを入手するように指示します。しかし、この添付ファイルは実際にはウイルスで、そこから偽セキュリティソフトFAKEAVをダウンロードします。
今なお被害が続くダウンアドですが、このダウンアドへの感染を警告するメールから、偽セキュリティソフトFAKEAVへ誘導される例が確認されました。メールは、マイクロソフトを装い、ダウンアド(Conficker)の感染を確認するため、添付ファイルのチェックツールをコンピュータにインストールするよう促します。しかしこのツールは、偽のスキャン結果を表示し、偽セキュリティソフトを購入するように誘導します。被害者は、偽ソフトの購入金だけでなく、購入する際に用いられたクレジットカード番号等の個人情報も盗み取られます。
2009年10月初め、「Windows Live」のパスワード情報が大量に流出していることが確認されました。少なくとも、1万人のユーザーの個人情報がWebサイト「Pastebin」上で発見されました。このWebサイトは、通常、プログラマーがソースコードを共有するために使われます。その後、最終的に流出したパスワードは2万件にも上り、その中には、「Google」や「Yahoo!」などの他のWebメールサービスのユーザー情報も含まれていました。
「Adobe Reader」および「Acrobat」に対する新たなゼロデイ攻撃が確認されました。この脆弱性を利用することにより、最終的に、バックドア型ウイルスProtuxファミリがインストールされます。Protuxは、不正リモートユーザーが感染コンピュータに無制限に接続できるようにすることで知られています。この攻撃は、ウイルスを配布する手段として、サイバー犯罪者がPDFファイルを重要視しはじめていることを示唆しています。
インド、タイ、ニュージーランドなどの複数の正規Webサイトが改ざんされました。この攻撃でも「Adobe Reader」および「Acrobat」の脆弱性が利用され、アプリケーションがクラッシュして、感染コンピュータが不正リモートユーザーに乗っ取られることになりました。正規のWebサイトであっても、このように改ざんされ、ウイルスを配布する道具として利用されることがあるということを忘れてはなりません。
サイバー犯罪者は、複数のロシアのWebサイトを標的にし、これらのWebサイトに関連しているようにみえる偽の“エージェントプログラム”を登場させました。エージェントプログラムは、利用者がブラウザを立ち上げなくても特定のWebサイトが提供するサービスを利用できるようにするアプリケーションです。この攻撃で用いられた偽プログラムのウィンドウは本物そっくりに作られており、ログイン情報を入力するように促します。サイバー犯罪者は、これらのログイン情報を収集することを目的としています。
今回、スパムメールから始まるウイルス感染事例をいくつか紹介しましたが、スパムメールからウイルス感染に至る基本的な手順は、以下の3つにまとめることができます。
最初の2つの手順については、利用者がなんらかの動作をしたことによって実行されるものです。このときに行動をしなければ、すなわちスパムメールを無視していれば、被害に遭うことはないのです。
正規のメールかどうかを判断するために、メールやインターネットの利用時には常に注意を払い、最新の脅威情報に目を通しておくことは、自分のコンピュータをさまざまな脅威から守ることに役立ちます。
もちろん、セキュリティソフトおよびその他のソフトウェアを最新の状態に保つことはいうまでもなく非常に重要です。
※この記事は制作時の情報をもとに作成しています。