2009/10/1
購入したパソコンを受け取るための“ラベル”を印刷させる新しい攻撃手法
サイバー犯罪者は人々をだまそうと、あの手この手を次々に考え、実行しています。これまでもさまざまな手口が発見されていますが、また新たな手法が確認されました。例えば、「購入したパソコンを受け取るために、ラベルを印刷してください」という内容で、添付ファイル(=ウイルス)を開かせるといったものです。ここで紹介するのは主に海外での事例ですが、いつ日本市場を狙った同様のものが登場するかわかりません。手口を知っておき、日ごろの対策に役立てましょう。
スパムメール(迷惑メール)の事例
購入確認メールから偽セキュリティソフトをダウンロードさせる
オンラインで商品を購入した際に送られるメールを装った攻撃が確認されました。
まず、商品購入の確認メールが送られてきます。このメールには、あなたが購入したSony VAIOを受け取るために、添付された“ラベル”を印刷する必要があると書かれています(画面1)。ところがこのファイルを実行すると、偽セキュリティソフトがダウンロードされます。
ブラジルの銀行口座が狙われる!
hostsファイルを改変し、銀行口座番号などを盗み取る手口が確認されました。
まず、メッセージを読むためにリンクをクリックするように誘導するメールが送られてきます(画面2)。このリンクをクリックすると、Internet Exploreのウィンドウが開きます。一見、何事もないように見えますが、実際は背後でウイルスがダウンロードされ、感染したコンピュータのhostsファイルを改変します。これによって、利用者がブラジルの銀行のWebサイトにアクセスすると、不正なサイトにリダイレクトされます。銀行だと思って入力した個人情報は、盗み取られてしまいます。
最新「Webからの脅威」事例
CAPTCHAを利用して本物に見せかけるフィッシング詐欺
CAPTCHAとは、人間とコンピュータを識別するためのテストです。人間には読み取れるけれどコンピュータには判別できないくらいに崩した文字列を表示し、答えを入力させることで、正しい入力かどうかを判断します。
最近、CAPTCHAを利用した、新しいフィッシング詐欺の手法が確認されました。電子商取引のためのWebサイト、PayPalそっくりに作られたページに、ショッピング関連のアンケート調査への参加が呼びかけられています(画面3)。通常、このような調査では、スパムボットなどにより不正にコメントが入力されることを防ぐためにCAPTCHAが用いられる場合があります。今回の詐欺活動では、個人情報(氏名、メールアドレスおよびパスワード)を入力させるとともに、CAPTCHAが表示されています。これにより、調査が本物であるようにみせかけます。フィッシングページに入力された情報は収集され、さまざまな不正な活動に利用されます。
「Twitter」のプロフィールを利用したスパム活動
人気を集めている、SNS(ソーシャル・ネットワーキング・サイト)のTwitterですが、その人気に比例し、サイバー犯罪に使われることも多くなってきました。
画面4は、スパム活動に利用されたTwitterのプロフィールです。ここで使われたメッセージやURLはさまざまですが、それらすべては、別のSNS、Facebookの同一のWebページに誘導します。このWebページには、“動画”があるはずで、これを見るために新しい“コーデック”をダウンロードする必要がありました。この“コーデック”の正体は、ウイルスです。
不正アプリケーションを使って「Facebook」のログイン情報を収集
Facebook自体も、攻撃の対象になりました。2つの不正なアプリケーション「Posts」および「Stream」が、Facebookで確認されました。これらのアプリケーションは、友人にお知らせを送信します(画面5)。
これらのお知らせは、Facebookのログイン情報を入力するよう促すフィッシングページに誘導し、その後、正規のFacebookページにリダイレクトします。この詐欺活動により、サイバー犯罪者は、不正行為に気づかれにくいまま、従来のフィッシング手法を用いるよりはやいペースでFacebookのログイン情報を収集することができるというわけです。
元フィリピン大統領の死去を利用した悪質なSEOポイズニング
以前、マイケル・ジャクソンさんの訃報がサイバー犯罪に使われた例をご紹介しましたが、またもや有名人の訃報が悪用されました。
コラソン・アキノ元フィリピン大統領の訃報から間もないうちに、サイバー犯罪者は、このニュースを利用して偽セキュリティソフトをばら撒こうとしました。この攻撃には、「corazon aquino’s death(コラソン・アキノの死)」というキーワードでGoogle検索をすると、結果に悪質なURLが登場するというSEOポイズニングが使われました。この悪質なURLには、偽セキュリティソフトが仕込まれていました。幸い、今回の攻撃で用いられた偽セキュリティソフトは、コード内にエラーが存在するため、不正活動が実行されることはありませんでした。
「Firefox」のアドオンを利用した攻撃を確認
Internet Explorerと並び人気の高いブラウザ「Firefox」に対する攻撃も確認されました。
これは、「Adobe Flash Player」の更新に見せかけ、Firefoxのアドオンとしてコンピュータにウイルスをインストールさせます。このウイルスは、利用者のGoogle検索をすべて悪意の第三者に送信するスパイウェアです。これにより、利用者のプライバシーが侵害されることになります。
最新ウイルス事例
Skype:通話を盗聴するウイルスが登場
実際の被害報告はまだないものの、インターネット通話システム、Skypeの通話を盗聴するウイルスが存在することが確認されました。
Skypeがトラフィックを暗号化して他の利用者に送信する前に、情報を収集し、音声ファイルに保存、悪意の第三者に送信することが可能になります。
AutoCAD:管理者アカウントを追加しドライブを共有化
建築や土木の設計で使われるCADソフトであるAutoCADを狙ったウイルスが確認されました。
感染したコンピュータでAutoCADファイルを開くと、そのファイルも感染します。感染したAutoCADファイルは破損する場合があり、CADプログラムの利用者は、時間的にも経済的にも深刻な被害を受ける可能性があります。さらに、このウイルスはレジストリ値を追加し、「SERVICER」という名称の管理者ユーザを加えます。また、CドライブからIドライブまでが共有できるようになります。
Delphi:プログラム開発環境を汚染。汚染後作成されたファイルをウイルス化
ボーランド社のプログラム開発環境「Delphi(デルファイ)」コンパイラを改ざんするウイルスが確認されました。
改ざんされたアプリケーションで作成(コンパイル)されたファイルは感染しますので、改ざん後に作成されたファイルはすべてウイルス化することになります。
Macを狙った脅威事例
Mac OS X の新製品「Snow Leopard」が早くも標的に!
安全と思われていたMacへの攻撃が目立つようになってきています。
Mac OS Xの最新バージョン「Snow Leopard」の正式リリースの数日前、新製品のコピーが無料でダウンロードできると書かれた、複数の違法コピーソフトのダウンロードサイトが確認されました。しかし、これらからダウンロードできるのは、「Snow Leopard」ではなくてウイルスでした。
無料のPDF閲覧ソフトを装おい侵入
無料でダウンロードできるMac対応のPDF閲覧ソフト「Foxit Reader」および複数のセキュリティソフトを装う、Macを狙ったウイルスが確認されています。
「Quick Time」プレーヤの更新と偽りDNS設定を変更
Mac標準のプレーヤ「Quick Time」の更新ファイルを装い侵入するウイルスが確認されました。実際には、DNS設定を改変するトロイの木馬でした。
情報提供 トレンドラボ
トレンドマイクロのウイルス解析・サポートセンター。フィリピン・マニラを本拠点とし、24時間365日体制で世界中のインターネット上の脅威を監視。ウイルス解析、製品開発、カスタマーサポートを行っています。
ソーシャルブックマーク
関連記事
