is702

「セキュリティの脅威」グローバルレポート~世界中の最新セキュリティ脅威動向をご紹介~

iPadの人気につけ込む攻撃が確認

大きな話題となっているアップル社のタブレット型PC「iPad」。この人気に便乗した攻撃が確認されています。確認されたのは、iPadがいち早く試用できさらに手に入るキャンペーンが実施中と書かれた偽メール。これに参加しようとすると、個人情報が盗まれます。
以前にも、iPad関連のキーワードで検索すると検索結果の上位に悪質なURLを登場させるSEOポイズニングによって、偽セキュリティソフトへ誘導されるものが確認されています(関連ニュース)。まだまだ人気が続きそうなiPadですが、引き続き便乗攻撃への注意が必要です。


iPad人気につけ込む攻撃 ~個人情報が盗まれる~

iPadの試用でもらえる? iPad人気に便乗し個人情報を収集

アップルの新製品タブレット型PC「iPad」の発売も迫った3月9日、iPadが無料でもらえるとかたる迷惑メールが確認されました。このメールには、発売前のiPadを試用して評価する口コミキャンペーンに参加すると、謝礼としてiPadを受け取れると書かれています。協力する場合は必要事項を書いてメールに返信してください、となっていますが、その情報が盗まれるだけです。

「iPadを試用して口コミするとiPadがもらえる」と書かれたメール

iPadの注文増加につけ込んだ? 「Apple Store」を装うメール

3月25日には、アップルのオンラインショップ「Apple Store」を装った迷惑メールが確認されました。このメールには、「Apple Online Storeへの最新の注文状況の確認および注文内容を変更するには、こちらをご確認ください」といった内容が記載されています。しかし、注文状況の確認をしようとメール内に含まれたリンクをクリックすると、Apple Storeとは全く関係のない、バイアグラなどの医薬品を販売するWebサイトに誘導されることが明らかになっています。

Apple Storeを装ったメール。リンクをクリックすると全く関係のないサイトへ


対策の常識を逆手に取る手口 ~URLを直接入力させる~

ブラウザに不正なURLを入力させる

これまでも不正なものが多く確認されている医薬品広告メールに、新たな手口を備えたものが発見されました。メールには、JPG形式の画像が添付されており、そこには「お使いのブラウザに直接<指定のURL>を入力してください」と書かれているのです。
迷惑メールは通常、文字列や画像をクリックさせて不正なWebサイトに誘導させます。そのため、メール内にあるリンクをむやみにクリックするのではなくURLを直接入力するように、とアドバイスされることがあります。今回確認された手口は、それを逆手に取ったものといえるでしょう。
またメール本文には、ワードサラダと呼ばれる、文法は正しいものの言葉を無作為に羅列して自動生成された、意味が通らない文章が記載されていました。フィルタリング機能をすり抜けることを目的としていると思われます。

ブラウザに直接不正なURLを入力するように指示

迷惑メール対策からの通知を装い不正なWebサイトへ誘導

迷惑メール対策からの通知を装った迷惑メールが確認されました。このメールには、受信者が受け取るはずのメールがブロックされていると書かれており、ブロックされたメールを読むためにリンクをクリックするように促します。リンクをクリックしても受信者が受け取るはずのメールはありません。代わりに不正なWebサイトに誘導されます。

受信メールがブロックされているためクリックして確認するように、と促す

トレンドマイクロを装い偽セキュリティソフトを実行させる

トレンドマイクロなどのセキュリティベンダーから送られたように見せる迷惑メールが確認されました。「セキュリティ強化のため、メールボックスの設定が変更されました。添付ファイルを開き実行するように」と書かれています。この添付ファイルは、「XP Internet Security 2010」という名前の偽セキュリティソフトで、クレジットカード番号などの情報を収集されることになります。ほかのセキュリティベンダーを装ったものも確認されています。

トレンドマイクロのテクニカルサポートからを装ったメール。添付ファイルは偽セキュリティソフト


脆弱性を狙う攻撃 ~Adobe、Internet Explorerの脆弱性に要注意~

2010年開催「上海国際博覧会」に便乗したメールが確認

2010年5月1日から開催の「上海国際博覧会」に便乗した迷惑メールが確認されました。上海万博事務局からを装ったこのメールには、TIFF形式の不正な画像ファイルが埋め込まれたPDFファイルが添付されていました。このPDFファイルを開くと、不正なTIFFファイルは、今年2月に修正されたAdobe AcrobatおよびReaderに存在する脆弱性を悪用し、バックドア型ウイルス作成します。こうして、感染コンピュータのシステム情報が収集され、情報漏えいの危険にさらされることとなります。

上海万博事務局からを装ったメール。Adobeの脆弱性を悪用する不正なPDFファイルが添付

無料Webメールサイトに脆弱性を狙う不正広告が掲載

人気無料Webメールを提供するWebサイトが不正広告の攻撃を受けた事例が確認されました。問題のサイト上で確認された不正広告は、Internet ExplorerやAdobe Flash、Adobe Acrobatに存在する脆弱性を悪用して不正活動を実行し、感染コンピュータ上にウイルスをダウンロードします。この不正広告は、たいていSWF形式のファイルで作成されており、この不正広告が実行する不正活動は、サイバー犯罪者が脆弱性を悪用する際に好んで用いるツール「Liberty Exploit Kit」を利用した場合と似ており、今回の攻撃もこのツールが利用されている可能性が高いです。

脆弱性を利用する攻撃に、ZBOTが登場

2010年3月、Adobe製品の脆弱性を悪用した攻撃に、情報収集型ウイルス「ZBOT」が登場する事例が確認されました。ZBOTは、ボットネットZeusが使用することで知られています。
この攻撃は、Adobe ReaderおよびAdobe Acrobatに存在する脆弱性を利用して不正活動を実行し、最終的にZBOTウイルスの新しい亜種をダウンロードおよび実行します。通常、ZBOTは迷惑メールを介して、さまざまなソーシャルエンジニアリングの手口でコンピュータに侵入してきます。最近では、「アメリカ合衆国内国歳入庁(IRS)」からの通知を装ったり、「あなたの写真が何者かに投稿され友人にそのリンク先が送られている」と知らせる手口が確認されています。

アメリカ合衆国内国歳入庁からを装ったメール。Adobeの脆弱性を悪用し、ZBOTをダウンロード


コミュニケーションツールを狙う攻撃とフィッシング作成キット

Windows Live Messenger経由の不正URLからウイルス感染

「オバマ・アメリカ大統領の事故死」という偽ニュースに便乗した不正な「Windows Live Messenger」のインスタントメッセージが確認されました。ここには、オバマ大統領の事故死に関連する写真へのリンクを装ったURLのほか、SNS(ソーシャル・ネットワーキング・サービス)「Facebook」や動画共有サイト「YouTube」に似せたドメインのURLが記載されていました。この不正URLをクリックするとウイルスに感染することとなります。

不正なURLをインスタントメッセージ経由で送信、ウイルスをダウンロードさせる

Twitterアカウントを乗っ取り勝手につぶやきを発信

ミニブログサービス「Twitter」のアカウントが勝手に使われ、ダイエット用サプリメントを販売するWebサイトに誘導する事例が確認されました。不正サイトに誘導された利用者は、同様の不正URLを自分のアカウントで発信させ、被害を広めてしまいます。

Twitterのアカウントが勝手に使われ、ダイエット用サプリメント販売サイトに誘導

情報収集機能付きフィッシングページを作成する新ツール

本物そっくりの偽サイト、フィッシングサイトを作成するのは、もはや難しいことではなくなったようです。インターネット上に出回る「super phisher」というフィッシングサイト作成ツールは、動的なWebサイト作成を可能にするプログラム言語「PHP」で生成され、簡単にHTML形式のWebページが作成できます。このツールで作成された偽Webサイトには、情報を収集する機能が備わっており、入力された個人情報を盗み取ります。

インターネット上に出回るフィッシングサイト作成キット「super phisher」

情報提供 トレンドラボ

トレンドマイクロのウイルス解析・サポートセンター。フィリピン・マニラを本拠点とし、24時間365日体制で世界中のインターネット上の脅威を監視。ウイルス解析、製品開発、カスタマーサポートを行っています。

  • セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
セキュリティーレポート メルマガ会員募集中 is702の最新コンテンツを月2回まとめてお届けします。
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ