昨日の「アラートメールにご用心」の中でお伝えした、Microsoft Teamを装うウイルスメールが、昨夜から手法を変えて国内に飛来している。英語圏のユーザーを狙う英文メールであることには変わりないが、今回はメール不達などの障害が英文メールで届くことも多いメールサービスのサポートチームを装っているため、うっかり添付ファイルを開いてしまう方が出て来るかも知れない。
■飛来するウイルスメールの件名と本文
今回のウイルスメールは、「A new settings file for the △△△@●●● has just be released」という件名で届く。「△△△@●●●」は「ユーザー名@ドメイン名」形式のあなたのメールアドレス。送信者名は、メールアドレスのドメイン名を使って「●●● Team」と名乗っており、送信者のメールアドレスには「Microsoft Team」や「Facebook Team」のウイルスメールと同様、受信者のメールアドレスが設定されている。
本文は「●●●メールサービスをお使いの方へ」で始まり、メールサービスのセキュリティアップグレードに伴って、あなたのメールボックスの設定を変更したので、添付したZIPファイルを開いて適用するよう指示する内容だ。
■添付ファイルの中身はトロイの木馬~ボット感染の危険
添付ファイル「settings.zip」の中身「settings.exe」は、これまで同様、Bredolab系のトロイの木馬だ。それ自体は、外部からさまざまなプログラムをダウンロードしてシステムインストールするための小さなプログラムで、実行時に実際に何がインストールされるのかは分からない。が、その中には、ユーザーのパソコンを乗っ取って外部から操る、ボットも含まれているだろう。大量に送られてくるこのウイルスメールの真の送信元を調べると、いずれも、ボットに感染したと見られる世界各国のユーザーのパソコンに行き着く。
編集部に届いているウイルスメールの中には、今のところ国内のユーザーから送信されたものは見当たらないが、ひとたび感染してしまうと攻撃チームの仲間入り。ボットに感染したパソコンは、スパム配信のほかにもさまざまな悪事に用いられるので、あなたのパソコンが悪い仲間に入らないよう、注意を払っていただきたい。
■「MAILER-DAEMON」さんからのメールに注意
送付先のメールアドレスを間違えたりすると、不達を知らせるメールが届くことがある。送信元は「MAILER-DAEMON」や「Mail Delivery Subsystem」などと名乗り、送ったメールが添付されていることも多い。いきなり英文のメールが届くので、驚かれる方や不審に思う方も多いらしいが、これはメールの配送がうまくいかなかった際にメールサーバーが送信者に自動的に送付しているもの。サポートチームの人が、あなた宛てに送ったメールではなく、メールを配信できなかったサーバーが送れなかった理由を添えて機械的に返信しているだけのメールなのだ。
したがって、それが本物のMAILER-DAEMONさん(メールサーバー)からのメールであれば、決して怪しいメールではないのだが、この自動返信メールを装うウイルスメールというのもあるので警戒心は常に必要だ。送ったメールが返ってきたと思い込み、あわてて添付ファイルを開いてしまうことのないよう注意したい。
(2010/02/23 ネットセキュリティニュース)
■Malware attack spammed out disguised as email settings file(Sophos)
http://www.sophos.com/blogs/gc/g/2010/02/22/malware-attack-spammed-disguised-email-settings-file/
◆アラートメールにご用心~偽MSのウイルスメール、偽MasterCardのフィッシング(2010/02/23)
件名に「Alert」を含む怪しげな英文メールが、17日頃から国内に大量に舞い込んでいる。ひとつは、マイクロソフトを装うウイルスメール。もうひとつは、マスターカードを装うフィッシングメールだ。
詐欺やウイルス感染などを仕掛ける攻撃者たちは、相手の注意をひきつけたり、冷静さを失うように仕向ける目的で、しばしば「警告」「重要」「緊急」などの文言を用いる。そのような文言の入ったメールを受け取ったら、まずは疑ってかかろう。
■マイクロソフトをかたるウイルスメール
マイクロソフトを装うウイルスメールは、「Conflicker.B Infection Alert」という件名で届く。送信者名は「Microsoft Team」となっているが、メールアドレスはあて先と同じものを設定。プロバイダから、あなたのネットワークがConflickerワームに感染しているとの知らせがあったので、添付ファイルをインストールしてウイルススキャンを行うよう促す。
添付された「open.zip」の中身「open.exe」は、ウイルスを探して削除してくれるプログラムなどではなく、Bredolab系のトロイの木馬そのもの。指示どおりに実行してしまうと、さまざまな悪質なプログラムがインストールされてしまう。このウイルスメールは22日現在も出回っており、注意が必要だ。
「Microsoft Team」のウイルスメールが出回り始める直前の1週間は「Facebook Team」名で「agreement.exe」を実行させようとするメールが、さらにその前の1週間は「ICS Monitoring Team」名で「report.exe」実行させようとするメールが出回っていたが、いずれもBredolab系のトロイの木馬を仕込んだウイルスメール。すべて英文なので、だまされる方は少ないと思うが、似たような日本語メールが舞い込んで来ても、うっかり添付ファイルを開かないように注意していただきたい。マイクロソフトでは、添付ファイルをインストールさせるメールは送付しないし、他の企業にしても添付ファイルを開かせるようなメールを突然送ってきたりはしない。
■マスターカードをかたるフィッシングメール
マスターカードをかたるフィッシングメールは、「MasterCard Alert」や「Important MasterCard Alert」などの件名で届く。送信者は「MasterCard@●●●.com」(●●●は数桁の色々な数字)となっており、オンラインシステムをアップデートしたので、アカウント情報の更新が必要として、偽サイトに誘導。メールに記載したIDを入力させた後、住所、氏名、電話番号などの個人情報と、カード番号、有効期限、セキュリティコードなどのクレジットカード情報をだまし取ろうとする。
偽メールは、HTML表示では同社のロゴがあしらわれ リンクは「MasterCard - Update」と表示。URLの一部には「secure.mastercard」の文字列が織り込まれているが、カード会社や金融機関とは全く無関係なドメイン名で、ブラウザのステータスバーなどに表示されるはずの錠マークも表示されない。
19日には、フィッシング対策協議会が当該フィッシングの注意を呼び掛ける緊急情報を公開。同日までに寄せられた報告は、MasterCardの問い合わせ窓口に11件、同協議会に7件あったという。MasterCardでは、顧客に口座や個人情報をたずねるメールを送ることは一切ないとしており、このようなメールを受けとってもリンクや添付ファイルを開かないよう注意を促している。
同協議会では、今月8日にVISAをかたるフィッシングの注意喚起も行っている。VISAの偽サイトがボットに感染したユーザーのパソコンに設置されていたのに対し、今回の偽サイトは不正アクセスを受けた一般のWebサイトに設置されたものと見られる。編集部の調査では、8つのサイトから各5セットずつ、計40の偽サイトが見つかっており、うち2サイトが週末までに閉鎖。残りは22日現在も稼働しており、偽サイトに誘導するフィッシングメールは、週末にも飛び交っていた。引き続き注意が必要だ。
・MasterCard(マスターカード)を騙るフィッシング(フィッシング対策協議会)
http://www.antiphishing.jp/alert/alert1046.html
(2010/02/23 ネットセキュリティニュース)