ハリウッド女優のヌード映像などに見せかけて悪質なプログラムをダウンロードさせようとするスパムメールが再び出回っているとして、セキュリティベンダー各社が注意を呼びかけている。編集部にも1週間で50通ほどのスパムメールが届いた。
英Sophosは現地時間の18日、ハリウッド女優のアンジェリーナ・ジョリーのヌード動画が見られると誘い、悪質なプログラムをダウンロードさせようとするHTMLメールが出回っていると注意を呼びかけた。メール本文中の「Free Video Nude Anjelia Jolie」の文字部分をクリックすると悪質なプログラムをダウンロードさせようとする。
また、米トレンドマイクロも現地時間の17日、同様の内容で画像入りのメールが出回っているとして注意を呼びかけていた。
編集部が調べたところ、同様のスパムは日本時間の16日夕方から届き始めており、Sophosで報告されている文字だけのメールと、トレンドマイクロで報告されている画像入りの2パターンがあることが分かった。いずれも文字や画像のリンクをクリックすると悪質な実行ファイルをダウンロードさせようとする。
日本時間の7月18日から22日にかけて編集部に届いたスパムメールから採取できた実行ファイルは、「video-nude-anjelia.avi.exe」と「msvideoc.exe」の2種類。「msvideoc.exe」には、バイナリの異なる3種類のファイルを採取できた。
30社以上のウイルス対策ソフトを使って疑わしいファイルを調べてくれるサービス「VirusTotal」によると、22日時点で以下のような検出結果になった。
・msvideoc.exe(7月18日版):29社
・msvideoc.exe(7月20日版):24社
・msvideoc.exe(7月21日版):16社
・video-nude-anjelia.avi.exe(7月22日版):14社
悪質な実行ファイルは同じファイル名でもバイナリが次々と変化するため、セキュリティベンダーの対応が後追いになっていることが分かる。
ほかにも、ジェニファー・アニストンのPV動画に見せかけたメールも届いている。件名は「Watch video Gallery!!!」で、メール本文の「Look it now!」の文字をクリックすると、ビデオの読み込み画面に見せかけたページが表示される。この画像をクリックまたは5秒経過すると、「video79885.exe」という実行ファイルをダウンロードさせようとする。ビデオの読み込み画面に見せかけたページにはiframeタグが埋め込まれており、別のページを開こうとする。開いたページは「404 Not Found」に見せかけているが、実際にはJavaScriptが仕掛けられていた。
「VirusTotal」によると、22日時点で「video79885.exe」は15社、「404 Not Found」に見せかけているページに至っては、わずかに8社しか検出できなかった。
それ以前の15~16日にもユーザーの興味をひくような件名のスパムが届いており、同様にメール本文のリンクをクリックすると動画の読み込み画面に見せかけたページに誘導し、実行ファイルをダウンロードさせようとする。この実行ファイルについては、セキュリティベンダー各社がほぼ対策済みである。
上記のように、次々と変化する実行ファイルやバイナリにセキュリティベンダーの対応が後追いになる状況のなか、ユーザーもセキュリティソフトを常に最新の状態にしておくのはもちろんのこと、送り主の分からない怪しいメールは開かずにすぐに削除するなど、十分な注意が必要だ。
(2007/07/24 ネットセキュリティニュース)
■Same old social-engineering(Sophos)[英文]
http://www.sophos.com/security/blog/2008/07/1581.html
■“Angelina Jolie Nude Movie” Spam(トレンドマイクロ)[英文]
http://blog.trendmicro.com/angelina-jolie-nude-movie-spam/