is702

標的型攻撃の手法をワンクリック詐欺に応用の疑い――トレンドマイクロが注意喚起

2012/2/10

トレンドマイクロは2月9日、同社ブログで、標的型攻撃で使用される拡張子偽装のテクニックを応用したと思われるワンクリックサイトを確認したことを明らかにし、ファイル開封時の注意を促しています。

ブログによれば、トレンドマイクロが確認したワンクリックサイトのひとつに、「Right-to-Left Override(RLO)」という制御文字を悪用した手口が使用されていたということです。RLOは、右から左に読む言語(アラビア語など)向けに文字の流れを反転させる機能で、これを悪用し、拡張子の偽装が行われていたといいます。

確認されたサイトでは、末尾を「.wmv」と表示し、Windows Media Playerで再生可能な動画ファイルであるように見せかけて、ファイルをダウンロードさせるようになっていたということです。実際は、「.hta」というファイルで、これを実行してしまうと請求画面がデスクトップに表示され、「閉じる」ボタンを押しても画面が消えない仕組みだということです。

本来のファイル形式とは違う拡張子を表示してユーザをだまし、ファイルを開封させようとする手口を「拡張子偽装」と言い、日本国内の企業を標的にした標的型攻撃などでも使用されていたといいます。

トレンドマイクロでは、今回確認されたサイトについては、同社のWebレピュテーション技術で接続をブロックしており、万一侵入されても「VBS_HTAPORN」として検出できるとしていますが、送り込まれるワンクリックウエアは頻繁に差し替えられる可能性が高いと警告しています。ファイル名をこまめに確認し、怪しいものを入手しないなどの心がけを徹底することに加え、セキュリティソフトの導入・適切な使用を呼び掛けています。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ