米国税庁(IRS:Internal Revenue Service)をかたり、偽サイトに誘導してウイルスに感染させようとするスパムが大量に出回っており、US-CERT(米コンピュータ緊急対応チーム)などが注意を促している。
問題のメールは「Notice of Underreported Income(収入の過少報告通知)」などの件名で届き、未報告/未払いの収入があるので、IRSのWebサイトで納税証明書を見るよう促し、記載したリンクをクリックさせようとする。誘導先の偽サイトでは、納税証明書と称して、トロイの木馬をダウンロード/実行させようとする。スパムメールのリンクには、送付先のメールアドレスなどをパラメータに付けたURLが埋め込まれており、偽サイト側ではそれらを画面に表示し、あたかも本人専用のページであるかのように見せかけている。
言われるがままに偽サイトのリンクをクリックし、偽サイトに置かれた「tax-statement.exe」をダウンロード/実行してしまうと、Zeus、ZBotなどと呼ばれているトロイの木馬がインストールされてしまう。このトロイの木馬は、システムに潜んでオンラインバンクのアカウントやクレジットカード番号などを盗み取るほか、パソコンを外部から操るための追加のコンポーネントをダウンロード/インストールしようとする。偽サイトに仕掛けられてZeus/ZBotのバイナリは頻繁に更新されているため、ウイルス対策ソフトの検出が追い付かないようで、編集部が29日未明に採取した最新のものをVirusTotalでチェックしてみたところ、41ソフト中、検出できたのは2ソフトだけだった。
■ウイルス配布サイトはボットに感染したユーザーのパソコン
IRSをかたるスパムや偽サイトは、1年を通じて大量に発生しているが、今回のものは、大量のドメイン名とボットに感染したユーザーのパソコン(ゾンビPC)を使用したタイプで、今月9日に登場して以来、連日のように続いている。ゾンビPCが起動してインターネットに接続すると、ボットネットの一員に加わり、外部からの指令を受けてWebサーバを起動。Fast-Flux(ファストフラックス)と呼ばれるテクニックを使って、スパムを受け取ったユーザーがアクセスしてくるように仕向けられる。
悪用されたドメイン名は次々にアクセスできないよう隔離措置がとられているものの、攻撃者も次々と新たなドメインを投入し、3週間にわたるいたちごっこが続いている。編集部が9日から現在までに確認したユニークなドメイン名は238個。すでに隔離済みだったものまで含めると、その数は500を超える。
ウイルス配布に悪用された多数のゾンビPCは世界中に散らばっており、その中には国内のユーザーのパソコンも含まれている。多い時には、1グループ15台のうち3台が国内ユーザーというケースもあった。9日から現在までに編集部では、ぷらら、J:COMウェスト、BIGLOBE、八戸テレビ放送、JCN船橋習志野、ふれあいチャンネルを利用しているユーザーのパソコンがウイルスの配布、およびそれと並行して行われていたeBayなどのフィッシングサイトに悪用されていたことを観測している。今回のIRSをかたるウイルスメールに騙されてしまう国内のユーザーは、ほとんどいないと思うが、すでに別の手口で感染してしまったユーザーが相当数いることは確かだ。
【あなたのPCはボットに感染しているか? 簡単な確認方法】
パソコンがボットに感染していないかどうかを確認するには、ウイルスチェック(ウイルススキャン)をしたり、サイバークリーンセンターにアクセスして「cccクリーナー」を使えばいいのだが、完了までに多少時間がかかる。そこでまず、自分のパソコンがWebサーバーとして悪用されていないかどうかをチェックしてみよう。
簡単な方法としておすすめなのは、ブラウザのURL入力欄に「http://127.0.0.1/」(「 」は不要)と入力してアクセスみること。「このページは表示できません」「正常に接続できませんでした」などとブラウザに表示されたら、あなたのパソコンはWebサーバーとして使われていない。もしアクセスできたり、「403 Forbidden」など他のエラー表示が出る場合は、すみやかにウイルスを駆除しよう。また、この簡易チェックでひっかからなかったとしても、定期的にウイルスチェックをしなければならないことは言うまでもない。
(2009/09/29 ネットセキュリティニュース)
■Malicious Code Spreading via IRS Scam[英文](US-CERT)
http://www.us-cert.gov/current/index.html#malicious_code_spreading_via_irs