日本IBMは20日、トレンドマクロは21日、それぞれのブログで、北朝鮮の金正日氏死去のニュースに便乗したスパムメールを確認したとして、注意を呼び掛けた。メールに添付されたPDFファイルには、脆弱性を悪用する不正コードが含まれている。OSやアプリケーションを最新状態にして対策を。
日本IBMのブログ「IBM Tokyo SOC」は、3種のスパムメールを確認した。3種とも、「企業・組織に所属する個人のE-mailアドレス」宛てに届いている。
1つは、文字列の最後が「com.cn」となる発信元から届き、PDFファイル「The life of King Rong II.pdf」が添付されている。このファイルには、今月16日にアドビ社がアップデートしたばかりのAdobe Reade/Acrobatの10.1.1および9.4.6 以前のバージョンに存在する脆弱性「CVE-2011-2462」を悪用する不正コードが含まれていた。
2つめは文字列の最後が「.co.jp」の発信元で、添付のPDFファイル名は「金正日総書記が死去.pdf」。3つめは文字列の最後が「.com」の発信元で、添付のPDFファイル名は「brief_introduction_of_kim-jong-il.pdf.pdf」。この2つのファイルには、上記とは別のAdobe Reader/Acrobatの脆弱性「CVE-2011-0611」を悪用する不正なPDFファイルが添付されていた。
トレンドマイクロが確認したスパムメールは、件名「N Korean leader Kim Jong-il dies」(北朝鮮の指導者・金正日氏死去)で、本文は実在する報道機関名「CNN」を冒頭に入れ、ニュース記事を装った一文が書かれている。添付ファイルは、「IBM Tokyo SOC」が確認したと同じ「brief_introduction_of_kim-jong-il.pdf.pdf」だ。この添付ファイルをクリックすると、金氏の写真を含むPDFファイルが表示されるが、背後ではバックドア型不正プログラムが作成され、外部に接続してファイルのダウンロードやアップロード、実行、プロセスの停止などのコマンドを送受信する。
同社はこのメールとは別に、「Kim_Jong_il___s_death_affects_N._Korea___s_nuclear_programs.doc」(金正日氏の死が北朝鮮の核兵器プログラムに影響を与える)というファイル名のリッチテキストファイルにより、不正プログラム「TROJ_ARTIEF.AEB」がメールで送信されている事例も確認したという。この不正プログラムはマイクロソフト製品の脆弱性「CVE-2010-3333」を利用し、バックドア型の不正ファイルを作成する。
大きなニュースが発生した時は、便乗したスパムメールが出回り、特定の組織や個人を狙った標的型メールにも悪用される可能性がある。興味を引くタイトルのメールや添付ファイルをうっかり開かないように注意されたい。また、利用しているOSやアプリケーション、セキュリティ対策ソフトを最新状態にすることもお忘れなく。今回悪用されている脆弱性も、すでに修正バージョンがリリースされている。もしまだなら、Adobe Reader/Acrobatは最新版へアップデートを。方法は、下記「関連記事」を参考にしていただきたい。
(2011/12/22 ネットセキュリティニュース)
【関連URL】
・北朝鮮総書記死去のニュースに便乗した標的型メールを確認(IBM Tokyo SOC)
https://www.ibm.com/connections/blogs/tokyo-soc/entry/targeted_attack_20111220?lang=ja
・金正日氏死去に便乗したスパムメールを確認。脆弱性の悪用も(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/4682
【関連記事:ネットセキュリティニュース】
・アドビ、ゼロデイ攻撃に対処したWindows版「Adobe Reader/Acrobat 9.4.7」公開(2011/12/19)