詐欺師たちは,疑うことを知らないインターネット・ユーザーをだまそうとして,絶えず斬新な手口を繰り出してくる。当社(米シマンテック)は,利用者の多いメール・クライアント・ソフトを狙うスパム・メールによるフィッシング攻撃が最近増えていることに気付いた。このスパム・メールでは,メッセージ内のリンクをクリックしてメール・ソフトを再設定するよう受信者に求めている。従来出回っていたスパム・メッセージは,悪質なアップデートを実行させる手段として攻撃用ファイルが添付されていた。
今回のスパム・メールには,真っ当なメッセージと思い込ませる目的で,アップデートに関する問い合わせ用の電話番号も記載してある。
「このメールが誤って届いた場合は,すぐに(310)xxx-6428までお知らせ下さい。メールは削除して下さい」
スパム・メールのFrom行とSubject行は,嘘の内容が書かれている。以下に示す例を含め,いろいろなものがある。
From: Mlcrosoft Outlook
Subject: Please re-configure your Microsoft Outlook again!(訳注:お使いのMicrosoft Outlookの再設定をお願いします!)
Subject: Outlook Express Setup Notification(訳注:Outlook Expressの設定に関するお知らせ)
狙われたユーザーがスパム・メール内のリンクをクリックすると,「対象ソフトの製品チームが運営しているWebサイト」に偽装したフィッシング・ページに誘導される。このページには,アップデートが最近リリースされたとある。
上記スクリーンショットを見ると分かるが,フィッシング・ページではメール・ソフト用の重要なアップデート「KB910721」をダウンロードするよう指示している。これは極めて重要なアップデートであり,メール・ソフトを最新版に更新して安定性とセキュリティを最高レベルに向上できる,という。ただし,このアップデートの正体は詐欺師が作った攻撃用ファイルだ。
これまでに確認できたフィッシング用URLの一部を掲載しておく(URLのドメイン名は伏せ字にした)。
hxxp://XXXXXX.1ikij.net/XXXXXX/isapdl/default.aspx
hxxp:// XXXXXX.1ljfki1.com/XXXXXX/isapdl/default.aspx
hxxp:// XXXXXX.fekkil.net/XXXXXX/isapdl/default.aspx
hxxp://hyweasqx.net/microxxxxxxxxxupdate/isapdl/default.aspx/ofxxxxp-KB910721-FullFile-ENU.exe
hxxp://hyweasqx.com/microxxxxxiceupdate/isapdl/default.aspx/ofxxxxp-KB910721-FullFile-ENU.exe
リンクをクリックすると,ファイルを実行するか保存するかを選ぶウィンドウが表示される。
不幸にも攻撃用ファイルをダウンロードしてインストールしてしまうと,メール・アカウントの確認を求められ,ユーザー名やパスワード,そして今回の詐欺で最も重要なメール・サーバー名といった情報を尋ねられる。メール・サーバー名を知ることで,詐欺師は対象メール・アカウントへのアクセスを成功させ,やすやすと大切な個人情報(クレジットカード番号,社会保障番号,銀行口座の番号など)を手に入れてられるようになる。
今回の攻撃は,ソーシャル・ネットワーキング・サービス(SNS)やオンライン・バンキング・サイトを狙ったこれまでのフィッシング攻撃と違い,ユーザーのログイン情報だけではメール・ソフトを好きなように制御できない。メール・アカウントにアクセスするには,メール・サーバーの情報も必要なのだ。詐欺師がこの情報を入手してメール・アカウントを手中に収めれば,メールの盗み読みや機密情報の不正取得が可能になるだけでなく,さらなるスパム送信にも使える。
当社は,上記URLの一部に該当する攻撃用ファイルを「W32.SillyFDC」として検出する。このファイルは,リムーバル・ドライブへ入り込み,さらに以下のファイルを作るようだ。この結果,このリムーバル・ドライブをパソコンに接続すると,必ず攻撃用ファイルが起動するようになる。
[REMOVABLE DRIVE]:\Autorun.inf
ユーザーが自衛し,自分の情報を守るには何をすればよいだろうか。どんなサイトでもWebサイトに掲載されているメッセージや,Webサイトから送られてきたように見えるメッセージに対しては,絶対に油断してはならない。リンクをクリックする場合には,Webページ上部に表示されている本物のドメインをダブル・クリックしよう。最もよい対策は,メッセージ内のリンクをクリックするのではなく,Webブラウザのアドレス・バーにWebページのURLを直接入力すうrよう習慣付けることだ。
(1)常に最新版のWebブラウザとOSを使う。「Norton Internet Security 2009」などのセキュリティ・ソフトも利用しよう。「Norton Safe Web」といったセキュリティ系サイトでは,ユーザーが危険なフィッシング/マルウエア・サイトに関する情報を交換しているので,チェックしておくとよい
(2)アカウント名やパスワードの入力を求められたら用心しよう
(3)完全に信頼できる相手からのメッセージでない限り,添付ファイルを開いたり,リンクをクリックしたりしてはならない
また,米マイクロソフトは当ブログで取り上げたこの種の詐欺メールについて,以下のWebサイトでオンライン・ポリシーを公開している。
http://www.microsoft.com/protect/yourself/phishing/msemail.mspx
注:当記事の共同執筆者であるAshish Diwakar氏に感謝する。
Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Email Client Fraud」でお読みいただけます。
