is702

サイバー犯罪に使われる「マイケル・ジャクソン」

世界的なニュースとなるような出来事が発生すると、さまざまな手口でその出来事に便乗した多くのサイバー犯罪が横行します。例えば昨今では、「キング・オブ・ポップ」ことマイケル・ジャクソン氏の衝撃的な死や、エールフランス航空447便墜落事故などが悪用されました。

スパムメール(迷惑メール)の事例

航空機墜落事故で、パワーポイントファイル添付のウイルスメール

スパムメールエールフランス航空機墜落事故に関連して、「エールフランス447便(墜落写真)」や「中国製 C919がエアバス、ボーイングと競合」といった件名のスパムメールが出回りました。
これらのメールにはパワーポイント(ppt)ファイルが添付されています。メールの本文では、このファイルに墜落写真などの画像が掲載されていると書かれていますが、実はこのpptファイルは、特別に細工された不正ファイル。ファイルを開くと、Microsoft Office PowerPoint のセキュリティホールを悪用したウイルス「TROJ_APPTOM.C」が活動を始めます。
さらに、セキュリティホールが利用されると、この不正ファイルは「TROJ_INJECT.AIO」として検出される不正プログラムを作成します。

マイケル・ジャクソン氏死亡のニュースに便乗した偽装メール

世界的なポップシンガーであるマイケル・ジャクソン氏の突然の死も利用され、一連のスパム攻撃が発生しました。
マイケル・ジャクソン氏死亡のニュースが流れるとすぐに、サイバー犯罪者たちは時機を逃さないよう、この話題に便乗したようです。
このニュースを利用した、CNNメキシコ支局から送られたように装ったスペイン語メールが確認されています。
メール本文中には、CNNの動画へのリンクが記載されていますが、実際のリンク先は不正なWebサイト。最終的に「HTML_DLOADR.ARM」および「BKDR_IRCBOT.BW」として検出されるウイルスに感染させようとするものでした。

Outlookをアップデートするはずが、カード情報が盗まれる

「Microsoft Outlook および Outlook Express に関する緊急アップデート」という表題のスパムメールが確認されました。
アップデートしようとした利用者がメールに記載されたリンクをクリックすると、「TROJ_ZBOT.BTS」というウイルスがダウンロードされる可能性があります。
このウイルスに感染すると、いくつかの特定のWebサイトにアクセスした場合に、キー入力操作情報が外部に送信されてしまいます。特定のWebサイトの中には金融機関も含まれており、クレジットカード情報などの個人情報が盗み取られる恐れがあります。

出会い系スパムに要注意!クレジットカード情報が真の狙い

「出会い系」のスパムメールも増加しています。これらのメールは、「あなたが好きだからメールします」や「私のプロフィールを知ってほしくて」などのメッセージを含んでいます。
しかし、メール内のリンクをクリックすると、最終的には成人である証明のためにクレジットカード情報を入力させようとするWebサイトに誘導されます。
Webサイト上には「金銭の請求はない」と記載されていますが、信用できるものではありません。

最新不正プログラム事例

アダルト動画を利用してMac OS X を狙う

sMac OS Xを標的とした不正プログラムのリストに、「OSX_RSPLUG.C」と「OSX_RSPLUG.E」の2つの亜種が新たに加わりました。
どちらの不正プログラムも、アダルト動画を利用して利用者を陥れようとします。動画を見るために必要なソフトを装った不正プログラムで、実際には特定のDNSサーバの設定を変更する不正スクリプト。この設定変更によって、利用者が気づかないうちに不正なWebサイトにリダイレクトされてしまうというものです。

スパムフィルターを突破する新種スパムボット

「TROJ_PROXY.AIF」と呼ばれる新たなスパムボットが確認されています。この不正ファイルは、C&C(コマンド&コントロール)暗号も、ロバストC&Cも用いません。しかし、送信するメールの「To:」の欄に複数の受信者名を入力し、スパムサイトへの直接のリンクの代わりにGoogleグループリンクを用います。どちらも、スパムフィルターを突破する手口です。

MSNでマイケル・ジャクソン氏関連リンクをクリックするとワームをダウンロード

インスタントメッセンジャーの「MSNメッセンジャー」を利用して、マイケル・ジャクソン氏死亡のニュースに見せかけてウイルスを大量にばら撒く事例が報告されています。メッセージは、マイケル・ジャクソン氏の最期に関する情報へのリンクを装い、実際には、「WORM_IRCBOT.GAT」というウイルスがダウンロードされます。このウイルスに感染すると、ボットウイルスである「PUSHDO」の亜種を自動的にダウンロードします。
なお、ウイルスはボットネットによってばら撒かれており、不正なリンクを含んだテンプレートのメッセージを、IRCを介して送信しています。

圧縮できる便利なZIPファイルがワームに利用される

ファイルやフォルダを圧縮する「ZIP」を悪用して、自身のコピーをZIPファイルに書き込むウイルスが確認されました。
「WORM_AUTORUN.JFZ」と呼ばれるウイルスで、感染すると、パソコン内にあるすべてのZIPファイル内に自身のコピーを作成して身を隠します。
さらに、自身のコピーを作成する際、GIFおよびSCRを追加し、二重の拡張子を用います。
このウイルスは、感染したパソコンからウイルス対策製品に関連するWebサイトにアクセスできないようにブロックし、代わりに不正なWebサイトにアクセスしようとするよう仕組まれています。

最新「Webからの脅威」事例

話題の出来事の検索に、悪質なSEO対策の罠

SEO世間の関心を集める話題が多いと、これらのトップニュースに便乗した攻撃も増えます。中でも、ひんぱんに検索されるキーワードを悪用した悪質なSEO対策が目立ってきています。
この手口を用いると、利用者が特定のキーワード(例えば、特に話題となった「エールフランス航空447便」、「新型インフルエンザ」、「マイケル・ジャクソン」など)で検索した場合、不正なWebサイトが検索結果の上位に表示されます。その話題のことを知りたい利用者は、ごく自然に躊躇なくこれらの検索結果をクリックします。
このクリックから感染連鎖が始まり、最終的には、感染したパソコンに偽セキュリティソフトがインストールされてしまいます。

Twitter経由で、Macパソコンにも感染被害

ウイルスを不特定多数にばら撒くために、ソーシャル・ネットワーキング・サイト(SNS)が利用されるケースも増えています。その一例は、SNSの一種で、個々の利用者が短い“つぶやき”を投稿し合う「Twitter」で、人気のベンチャー投資家 Guy Kawasaki 氏のアカウントが悪用された攻撃です。
同氏の「つぶやき(Tweet)」内にあるリンクをクリックすると、アメリカの女優・歌手であるレイトン・ミースター(メーステル)のゴシップ動画が見られるはずでしたが、実際の誘導先は不正なWebサイトでした。この不正サイトでは、Windowsパソコンの利用者だけでなく、Macパソコンの利用者もウイルスをダウンロードするように仕掛けられていました。

大規模なWebサイトの改ざん攻撃が再び―「NineBall」

正規のWebサイトを不正に改ざんする大規模な攻撃が、再び確認されました。たくさんのWebサイトがこの攻撃に利用されましたが、その1つの名称にちなんで「NineBall攻撃」と名づけられました。
この攻撃は、セキュリティホールを利用するためのツールキット「Yes Exploit System」によって作成された不正ページから、セキュリティホール利用のプログラム(ウイルス)がダウンロードされます。そして、最終的には、情報収集型の不正プログラムに感染します。この不正プログラムは「TSPY_SILENTBAN.U」という名称で、利用者のインターネット活動を監視して情報を収集し、遠隔操作によってそれらの情報を不正送信して搾取します。

イラン大統領選挙結果への抗議活動にサイバー犯罪者も

イランの大統領選挙結果に異議を唱えてイラン人活動家が暴力的な抗議行動を行っているさなか、タイミングを合わせてDDoS攻撃が行われました。イラン政府のWebサイトを麻痺させるために、ハクティビスト(ハッキングにより抗議活動を行う活動家)によって仕組まれた攻撃だったと一部で報じられています。
このサイバー攻撃が成功したかどうかについての正式な発表はありませんが、複数の政府関連のWebサイトがアクセス不能に陥ったようです。
イランの集権的なインターネットシステムを考えると、この攻撃は標的のWebサイトだけでなく、イラン国内すべてのインターネット利用者にも影響があったと考えられます。

情報提供 トレンドラボ

トレンドマイクロのウイルス解析・サポートセンター。フィリピン・マニラを本拠点とし、24時間365日体制で世界中のインターネット上の脅威を監視。ウイルス解析、製品開発、カスタマーサポートを行っています。