JPCERTコーディネーションセンター(JPCERT/CC)は20日、マイクロソフトのサポートをかたったウイルス添付メールが大量に出回っているとして、注意を喚起した。
ウイルス感染を狙うメールは、このところWebに誘導してファイルをダウンロードさせて感染させる「Web誘導型」が主流だったが、現在はそれにくわえ、メールにウイルスファイルを添付させ、実行させ感染させる「ウイルス添付型」が大量に発生している。
添付ファイルは実行ファイル(.EXE)を添付してもブロックされてしまうので、たいていZIPファイル(.zip)で送られてくる。当編集部でもこれらのウイルスメールを採取しているので、以下にそのサンプルを紹介したい。
■ウイルス添付型:日本に大量に飛来、Outlookユーザーが標的に
(1)件名「A new settings file for the [送付先メールアドレス] has just been released」
この件名で今月15日に出現。件名に受取人(TO)のメールアドレスが入る。プロバイダーのテクニカルサポートをかたって、Outlookのメールボックス設定のアップデートを求めてくる。騙しの設定に矛盾がなく、複数のバリエーションの中では、いちばん筋が通っているといえる。添付ファイルは「install.zip」で、ウイルス添付型だけでなくWeb誘導型もある。(後述)
(2)件名「Microsoft Outlook Notification for the USER@DOMAIN」
今月15日から19日に出回った。本文ではマイクロソフトの「support」をかたり、添付の「install.zip」をダウンロードしてインストールするよう促す。しかし、差出人(FROM)は、宛先(TO)と同じドメインでユーザー名を変えたメールアドレスになっており、差出人(FROM)でマイクロソフトをかたることには失敗している。
(3)件名「Conflicker.B Infection Alert」
今月19日から発生。JPCERT/CCが今回取り上げ注意喚起したスパムメールで、差出人(FROM)を「Microsoft Windows Agent」とし、マイクロソフトをかたっている。ただし、メールアドレスは受取人(TO)と同一になっており、なりすまし方はお粗末。上記2件はメール関連のアップデートを促すものだが、こちらはマイクロソフトのウイルス警告を装っている。添付ファイル「install.zip」付きで、実行させようとするのは上記と同じ。
■Webサイト誘導型:ユーザー専用ページを装い安心させる手口も
(1)件名「Notice of Underreported Income」
先月末に本通信でお伝えした、米国税庁(IRS:Internal Revenue Service)かたるウイルスメールの配布が今月12日から減少し、その代わりに英歳入関税庁(HMRC:HM Revenue & Customs)をかたるメールが出回り始めた。騙しの手法は同じで、指示されるままに偽サイトのリンクをクリックし、偽サイトに置かれた「tax-statement.exe」をダウンロード/実行してしまうと、Zeus、ZBotなどと呼ばれるトロイの木馬がインストールされてしまう。このトロイの木馬は、システムに潜んでオンラインバンクのアカウントやクレジットカード番号などを盗み取るほか、パソコンを外部から操るための追加のコンポーネントをダウンロード/インストールしようとする。
(2)件名「A new settings file for the [送付先メールアドレス] has just been released」
上記「ウイルス添付型」で紹介したものと同じ件名で、サイト誘導型のメールも出回っている。誘導する偽サイト「Outlook Web Access」では、要所で受取人(TO)のドメインを表示してユーザー専用ページを装い、信用させる手口としている。感染させる仕組みは上記のIRSやHMRCと同じで、偽サイトで設定ファイルと称するURLをクリックさせてユーザーのパソコンにトロイの木馬をインストールさせる。トロイの木馬は外部からさまざまなコンポーネントを呼び込み、カード情報を盗むなどの悪事を働く。IRSやHMRCと同じく、ウイルス配布にはボットに感染したパソコンが悪用されている。世界中の感染パソコンが悪用されているが、日本のユーザーのパソコンも多数含まれていることに留意したい。
(2009/10/21 ネットセキュリティニュース)
■マイクロソフト社を騙るマルウエア添付メールに関する注意喚起(JPCERT/CC)
https://www.jpcert.or.jp/at/2009/at090022.txt