アメリカのニュース専門放送局、MSNBCからのニュース速報を装うウイルスメールが日本時間14日の早朝から大量に出回っており、セキュリティベンダーが注意を呼びかけている。11日に、CNNをかたるウイルスメールが複数のパターンで大量に送信されているとお伝えしたが、この「偽CNN系メール」と入れ替わように「偽MSMBCメール」が出回り始めた形だ。
現在出回っているウイルスメールは、差出人が「MSNBC Breaking News」。件名は、「msnbc.com - BREAKING NEWS:」のあとに、「China beats out U.S. for gold in women's team gymnastics」「Elvis Presley daughter gives birth to twins」など、タイムリーで目を引く、ニュースのタイトルのような文が続いている。この部分にはたくさんのバリエーションがあり、ひどい時には数十分間隔で違うタイトルのメールが届く状況だ。
メールは一見するとテキストメールのようだが、実際はHTMLメール。本文内の「breakingnews.msnbc.com」へのリンクをクリックすると、攻撃サイトに飛ばされる。
セキュリティベンダーのWebsenseやF-Secureが情報を公開した時点では、「CNN」から「MSNBC」への「移行作業」が間に合わなかったのか、攻撃サイトは「CNN Video」のページを装ったものだった。しかし現在、攻撃サイトはMSNBCの正規サイトによく似たものに更新されている。
攻撃サイトでは、「偽CNN系」と同様に、「ビデオを見るために必要なVideo ActiveX Object」をダウンロードするよう求められる。このとき表示されるウィンドウには「Cansel」ボタンも用意されているが、実際は、「Continue」をクリックしてダウンロードを受け入れるまで、何度も同じウィンドウが表示される仕組み。ダウンロードを受け入れると、「adobe_flash.exe」という名前の悪質なファイルがダウンロード、実行されそうになる。また背後では、詐欺的セキュリティソフト「Antivirus XP 2008」の押し売りを図る悪質なサイトを開こうとしており、これも「偽CNN系」と共通だ。
一連のウイルスメールが実行させようとしている悪質なファイルは、ウイルス対策ソフトによる検知を逃れるため、短い間隔で少しずつ変更が加えられている。このため、ウイルス対策ソフトが最新の状態になっていても、タイミングによっては検知、対応できないことがある。身に覚えのないメールを開かないよう、十分注意していただきたい。
(2008/08/15 ネットセキュリティニュース)
■Bogus CNN Custom Alert update: MSNBC.com "BREAKING NEWS"[英文](Websense)
http://securitylabs.websense.com/content/Alerts/3159.aspx
■MSNBC / CNN malware run[英文](F-Secure)
http://www.f-secure.com/weblog/archives/00001485.html