is702

「セキュリティの脅威」グローバルレポート~世界中の最新セキュリティ脅威動向をご紹介~

人気者は狙われる。Twitterを装う攻撃が続々登場

前回紹介した話題の新製品「iPad」に便乗した攻撃(記事)のように、人気のサービスや製品、企業に便乗し攻撃を行うのはサイバー犯罪の常套手段と化しています。

最近多く確認されているのは、コミュニケーションツール「Twitter」の人気に便乗した攻撃。犯罪者は流行にいち早く反応し、利用できるものはとことん利用しようとします。Twitterは日本でも人気が高いため、より注意が必要です。


Twitterを装う攻撃が続々登場 ~Twitterのサポートを騙るメール~

Twitterからの通知を装い個人情報を盗む

Twittterからの通知を装い悪事を働く事例が2件立て続けに発見されました。

1つめは、Twitterからの通知メールを装い受信者をフィッシングサイトに誘導、個人情報やログイン情報を収集するものです。この偽メールは、Twitteロゴを使用し「You have 1 unreaded message from Twitter(未読のメッセージが1通あります)」というメッセージとリンクが記載されています。リンクをクリックすると、個人情報の入力を促すWebサイトに誘導され、入力した情報が収集される結果となるのです。

Twitterからのお知らせを装い個人情報を盗み取ろうとするメール

Twitterからの通知を装いウイルスを送り込む

もう1つの事例では、前者同様Twitterからの通知メールを装い、本文中には「You have 3 information message(s)(3件のお知らせがあります)」というメッセージとリンクが記載されています。リンクをクリックすると、ウイルスがダウンロードされることになるのです。

どちらのメールも、support@twitter.comが送信者に設定されTwitterのロゴを使用するなど、きわめて巧妙。メールを見ただけでは判断が難しくなっています。

Twitterからのお知らせを装いウイルス感染させようとするメール


PDFを狙う攻撃 ~脆弱性を使わない例も~

「Launch機能」を悪用してZBOTを作成

コンピュータをボットネットの一員にするボットウイルス、ZBOT。このZBOTを作成する不正なPDFファイルが確認されました。

通常、不正なPDFファイルは、脆弱性を悪用し自身の感染活動を実行しますが、今回確認されたものは、脆弱性は使いません。その代わり、Adobe ReaderのLaunch機能を用いて実行します。

Launch機能とは、Adobe ReaderおよびAdobe Acrobatに標準で搭載されている機能で、PDFファイルに添付されている実行ファイルなどを起動するものです。PDFファイルに実行ファイルが添付されている際、警告を出します。このメッセージ部分を改ざんし利用者をだますように仕組むこともできます。

今回の不正なPDFファイルを開くと、「セキュリティ上の危険の恐れがあるプログラムを含んでおり出所が明らかな場合のみ実行するように」という警告を表示します。「Open」をクリックすると、ZBOTウイルスが作成され、ボットネットの一員となってしまいます。

Launch機能を悪用し表示させる警告メッセージ

IT部署からの通知を装いウイルス感染させる

IT部署からの通知を装ったメールでウイルス感染させる手口が確認されました。先ほどの例同様、Launch機能が使われています。

このメールには、「メールボックスの設定が変更されたので、添付のPDFファイルを読んで設定を変更するように」といった内容とともにPDFファイルが添付されています。

このPDFファイルを開くと、まず不正なスクリプトファイルを呼び出し、ウイルスを作成します。このウイルスが、特定の悪意あるWebサイトにアクセスし、別のウイルスをダウンロードします。

さらに、ルートキットといって、自身のウイルス活動を隠す活動も行い、不正活動を見つけにくくします。

IT部署からの通知を装いウイルス感染させようとするメール

Adobe製品の更新を装いサイバー攻撃

Adobe製品の脆弱性が指摘されるなか、Adobe製品の更新を装うウイルスが確認されました。このウイルスは、Adobe製品の更新に見せかけるため、本物そっくりに偽造されたアイコンとバージョン情報を使用します。ウイルスが実行されると、3つのバックドアと呼ばれるウイルスを作成。この3つのバックドアは、それぞれが各自の不正活動を実行する一方、一部で互いに補い合い自身の不正活動を完遂することが確認されています。

この手口が、ベトナムに関連するサイバー攻撃に利用されているようです。この攻撃で利用されるウイルスは、ベトナム語を利用するWindows対応のキーボード用ドライバ「VPSKeys」を装い、コンピュータに侵入し、ボットネットを構築します。このボットネットは、感染コンピュータを監視し、分散型サービス拒否攻撃(DDoS攻撃)を仕掛ける機能を備えています。


人を脅してだますスケアウェア ~偽セキュリティソフトに続く手口確認~

著作権侵害で脅す不正プログラムが確認

人を脅す目的で作られたスケアウェアとしては、偽セキュリティソフトが有名ですが、これを模倣した「著作権侵害に関する訴訟」を装った攻撃が確認されました。偽セキュリティソフト同様、偽のポップアップウィンドウを表示させ、脅したうえで悪事を働きます。この事例の場合、「ファイル共有ソフトの使用」や「違法なTorrentファイル(共有するファイルの情報が記述されたファイル)のダウンロード」をしたため著作権を侵害している、といった偽の警告メッセージで脅します。

この手口は、Webサイトに掲載された不正広告から誘導されることが確認されています。不正広告から不正なWebサイトへ誘導された利用者は、アドウェアと呼ばれるウイルスをダウンロード。このアドウェアは、「著作権訴訟の原告」を装う架空の団体「ICCP Foundation」であるとし、「著作権を侵害した」というメッセージとともに「1週間以内に裁判所からの出頭命令が届くでしょう」という一文が記載された壁紙を表示します。そして、実刑を逃れるために、総額400米ドル以上の損害金支払いを促すポップアップウィンドウを表示、偽の支払い通知画面に誘導します。

著作権を侵害したと警告するポップアップウィンドウ(上)と壁紙(下)

引き続き注意! SEOポイズニングで偽セキュリティソフト

ここ数か月、検索結果から偽セキュリティソフトへ誘導するSEOポイズニングが広く流布していますが、引き続き同様の手口が確認されています。

最近使われた検索ワードは以下の通りです。

  • april 20th weed day
    大麻の隠語である「420(フォー・トゥエンティ)」。毎年4月20日は、米国の大麻使用者が大麻を摂取し祝う日
  • boston marathon results
    毎年4月に米マサチューセッツ州ボストンで開催される「ボストンマラソン」の結果
  • dancing with the stars elimination april 2010
    ダンスリアリティ番組『Dancing with the Stars』の失格者の結果
  • goldman sachs sec filings
    米投資銀行「Goldman Sachs」の有価証券報告書
  • who got voted off american idol april 21
    米アイドルオーディション番組『American Idol』で、4月21日放映分の失格者の結果

上記のとおり、人気となる検索語は、人気テレビ番組からスポーツ、ビジネス情報と多岐に渡っています。つまり、サイバー犯罪者は、偽セキュリティソフトを拡散するためには何でも利用する、ということでしょう。


だましの手口あれこれ ~人気者が狙われる~

Amazonからの偽メールマガジン

米オンラインショップ「Amazon」からのメールマガジンを装った偽メールが急増していることが確認されています。メールは、Amazonが送る正規のメールマガジンとそっくりに作成されていますが、メール内に記載されているハイパーリンク化されたテキストをクリックすると、Amazonとは何の関係もないWebサイトに誘導されます。

Amazonのメルマガを装う。正規のメールそっくり!

iPhotoのインストーラを装う

Macがウイルスと無縁だったのは昔の話。また、Mac OS Xを狙ったウイルスが確認されました。

このウイルスは「iPhoto」のインストーラを装うパッケージとしてコンピュータに侵入します。iPhotoは、簡単に写真の編集および管理ができるMac専用のソフトウェアです。このウイルスは、バックドア活動を行います。これにより、外部から感染したMacコンピュータに直接アクセスできるようになるため、サイバー犯罪者により遠隔制御される恐れがあります。

偽のiPhotoインストーラ画面

情報提供 トレンドラボ

トレンドマイクロのウイルス解析・サポートセンター。フィリピン・マニラを本拠点とし、24時間365日体制で世界中のインターネット上の脅威を監視。ウイルス解析、製品開発、カスタマーサポートを行っています。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ