フィッシング対策協議会は14日、VISAを装い偽サイトに誘導しようとするフィッシングメールが出回っているとして注意を呼び掛けた。誘導先の偽サイトは、国内のユーザーも多数加わっているZeuS/Zbot系のボットネットがホストしており、勢力拡大キャンペーンを実施中。うっかりアクセスしてしまうと、Zbotに感染してしまう。
ZeuS/Zbot系のボットネットは、連日連夜、活動を続けており、最近では、JPモルガン・チェース銀行やアメリカンエキスプレスカードなどを装うフィッシングを仕掛ける一方、IRS(米国税庁)やCDC(アメリカ疾病予防管理センター)などを装うウイルスサイトも運営。Facebookのアカウントを詐取するフィッシングでは、ついでにアップデートツールと称したウイルスも配布するダブル攻撃も決行。盛んに感染者の拡大を図っている。
今回のVISAを詐称するメールは、11~13日にかけて仕掛けられていたウイルス感染用の偽サイトに誘導するもので、中1日空いた15日から再び精力的なキャンペーンが展開されている。誘導メールは、「possible fraudulent transaction…」の件名で届き、「あなたのカードが○○(いろいろな国名)のATMで使われたが、セキュリティ上の理由により処理を拒否したから報告書を確認するように」と促し、ボットネットがホストする偽サイトへと誘導する。
VISAのロゴをあしらった偽サイトには、報告書と称した「cardstatement.exe」が置かれており、指示に従ってダウンロード・実行してしまうと、Zbotがインストールされる。今回の偽サイトには、Adobe ReaderやマイクロソフトのVideo ActiveXコントロール、MDAC(Microsoft Data Access Components)などの脆弱性を突く攻撃コードも仕掛けられており、ソフトウェアのアップデートを怠っていたユーザーの場合には、偽サイトのリンクをクリックしただけで感染してしまうおそれもある。
ずいぶんなことをしてくれるのだが、これが全てボットに感染し攻撃者の配下に置かれてしまったユーザーのパソコンが、真のオーナーに内緒で行っていることなのだ。
ボットネットに悪用されたドメイン名は比較的短時間のうちに無効化され、メールに記載されたURLではアクセスできなくなるが、母体となるボットネット自体は、多数の感染パソコンに支えられて、今もなお休むことなく稼働を続けている。攻撃者はそこに次々と新たなドメイン名を投入し、配下のパソコンにフィッシングサイトやウイルスサイトをホストさせて攻撃を続けている。
配下のパソコンがなくなれば、ボットネットは自ずと崩壊する。ネットを利用するユーザーひとりひとりが、ボットに感染しないように、万が一感染しても早期に駆除してボットネットを離脱できるように、しっかりとしたウイルス対策を行っていただきたい。
(2009/12/16 ネットセキュリティニュース)
■VISAをかたるフィッシング(2009/12/14)(フィッシング対策協議会)
http://www.antiphishing.jp/alert/alert1022.html
■サイバークリーンセンター
https://www.ccc.go.jp/