YouTubeビデオで誘う大量のスパムメールと悪質なプログラムをインストールしようとする大量の偽サイトが出現しているとして、セキュリティベンダー各社が注意を呼びかけている。
今回の攻撃は、先々週にお伝えしたグリーティングカードを装うStormワーム(Nuwar、Smallなど名称はさまざま)が仕掛ける新たなバリエーションで、先週末から攻撃が始まった。Stormワームは昨年末の登場以来、手を変え品を変えながら継続的に攻撃を仕掛けている。当初はメールの添付ファイルの形で感染を広げ、件名や本文、ファイル名を変えながら次々と亜種が送り出されていたが、今年6月頃からは添付ファイルのない新たな攻撃へと移行した。メールで誘い出し、アクセス先のサイトで悪質なプログラムを仕掛ける手口だ。
手口が変わってもメールの内容が次々と変化するのはこれまでと同様。件名や本文はさまざまだが、今回はYouTubeビデオでウイルスサイトに誘導しようとする。既報のグリーティングカード版ではリンク先がIPアドレスで記載されていたが、今回の誘導メールはHTML形式になっており、YouTubeビデオへのリンクに見せかけているのが特徴。リンクをクリックすると、さまざまな脆弱性を突くスクリプトが仕掛けられたYouTubeの偽サイトに誘導され、パッチを当てていないブラウザやアプリケーションを使用している場合には、悪質なプログラムが自動的にダウンロード・実行されてしまう。
YouTubeのロゴが貼られた偽サイトには、15秒たってもダウンロードが始まらなかったらここをクリックして実行ボタンを押すよう書かれており、画面の指示に従うとユーザー自らが悪質なプログラムを実行してしまうことになる。
手段が変われば品も変わっており、偽サイトには以前とは異なる亜種が仕掛けられている。30社以上のウイルス対策ソフトを使って怪しいファイルを調べてくれるサービス「VirusTotal」によると、28日時点で25社が既報記事当時の「msdataaccess.exe」を検出するのに対し、今回のYouTube版「video.exe」は20社。26日時点では15社しか検出できなかった。セキュリティベンダー各社は、スパムの送信や偽サイトに巨大なボットネットを構成する大量のゾンビパソコンが使われていると見ており、YouTubeビデオの誘いによって新たなゾンビたちの増殖が懸念される。
(2007/08/28 ネットセキュリティニュース)
■Storm adds YouTube lures[英文](Websense)
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=799
■Storm of the Day, Now with YouTube[英文](SANS Institute)
http://isc.sans.org/diary.html?storyid=3321
■Storm Worm using YouTube[英文](F-Secure)
http://www.f-secure.com/weblog/archives/archive-082007.html#00001260
■YouTube Storm[英文](Marshal)
http://www.marshal.com/trace/alertsitem.asp?article=285§ion=alerts
【過去記事:ネットセキュリティニュース】
・グリーティングカードを装うメールにご用心~悪質なプログラムをインストール(2007/08/17)
・[ウイルス情報]:ZIPの次はRAR、「ウイルス警報」装うウイルスメール(2007/05/01)
・「ウイルス警報」装うメールにご用心! 添付のZIPファイルにワーム(2007/04/16)
・[ウイルス情報]:第三次世界大戦勃発? ウイルス付きデマメール出回る(2007/04/10)
・[ウイルス警報]:掲示板やブログに書き込むと感染~Stormワームの亜種出現(2007/03/06)
・【ウイルス警報】ウイルスメールの波状攻撃、手を変え品を変え進攻中(2007/01/25)