スパムメールは、今日の脅威全体の中でも、最も頻繁に利用されている手口である。毎日何百万通ものスパムメールが、世界中のユーザーのメールボックスに届いている。このような迷惑メールは、不必要にメールボックスの容量を消費するだけでなく、不正プログラム感染や個人情報漏えい、ぜい弱性の利用などといった様々な脅威の引き金にもなっている。残念なことに、これらの脅威のすべてを兼ね備えたスパムメールがあることも事実である。
「上海万博」に便乗
スパムメールは現在なおその数を増やし続けており、スパムメールがサイバー犯罪者の不正活動にとっていかに有効なツールであるかを物語っている。実際、スパムメールは年々多様性を増してきており、悪用するトピックは、典型的な医薬品の宣伝販売から、特定の(ブログサービスを利用する)ブロガーを標的としたものまで多岐にわたる。このような標的型攻撃から、サイバー犯罪者がどのように攻撃の対象を選び、インターネットユーザーの心理をいかにうまく利用して攻撃を仕掛けているかをうかがい知ることができる。彼らは、好奇心からスパムメールの添付ファイルをうっかりと開いたり、メール内のリンクをクリックしてしまうという、インターネットユーザーに共通して見られる傾向を悪用するのだ。実際、2010年3月の「Eメールのセキュリティ意識に関するレポート」でも、怪しいと知りつつもスパムメールを開いてしまうユーザーが、いまだに何千人もいることが報告されている。
受信者の「添付ファイルを開き確認したい」という気持ちを利用したスパムメールの一つが、「2010年上海万国博覧会」を主催する「Bureau of the Shanghai World Expo」(上海万博事務協調局)を装ったメールである。上海万博は2010年10月まで開催され、中国政府はこの万博が世界への影響力を増大させるための絶好の機会になると考えている。この万博は、最大7000万人の観客が訪れると予測されており、この種のイベントでは史上最大の規模となる。そのため、このような大規模のイベントを利用したスパムにより、興味を持つ受信者の好奇心をあおり、いとも簡単に添付ファイルを開かせることができるのだ。
トレンドマイクロのシニア先端脅威研究員ポール・ファーガソンは、テクノロジーニュースを扱うグループのジャーナリストから、このスパムメールのサンプルを入手した。このスパムメール自体は、実際にこのジャーナリストが受信したものだったという。
情報漏えいに導くスパム
上海万博に便乗したスパムメールには不正なPDFファイルが添付されており、トレンドマイクロ製品ではこのファイルを「TROJ_PIDIEF.ACV」として検出する。このPDFファイルを開くことにより、Adobe Acrobat および Adobe Readerに存在するぜい弱性が悪用されるのだが、このぜい弱性は、今年2月に臨時公開されたセキュリティアップデート「APSB10-07」で修正されたはずだった。しかし、このぜい弱性を悪用した攻撃は3月にも引き続き確認されている。
この「TROJ_PIDIEF.ACV」は、上述のぜい弱性を利用すると、「BKDR_RIPINIP.I」として検出されるファイルを作成し実行する。このバックドア型不正プログラムは、感染コンピュータのシステム情報を収集し、不正なリモートサーバーに接続する。不正プログラムは、収集した情報をこのリモートサーバーに送信した後、サーバーからの回答を待つ。この回答には、不正リモートユーザーからのコマンドが含まれており、このコマンドを感染コンピュータ上で実行する。
不正なTIFFファイルがぜい弱性の悪用を招く
不正なPDFファイルによりぜい弱性を悪用する方法は、サイバー犯罪者の常とう手段となっている。しかし今回の悪用方法は、今年3月に用いられた方法とは異なっている。上海万博に便乗した関連スパム活動では、既に修正されたぜい弱性が悪用されただけではなく、TIFF(Tag Image File Format)形式の不正な画像ファイルが埋め込まれたPDFファイルが添付されている。この埋め込まれた不正なTIFFファイルは、ぜい弱性の修正されていないAdobe製品で処理されると、ぜい弱性を悪用して何らかのコードを実行する。今回のケースでは、TIFFファイルにより、「BKDR_RIPINIP.I」が作成され、実行された。
スパムと共に侵入する不正プログラム
スパムメールを介してコンピュータに侵入する不正プログラムの中でも、最も一般的なものは、ボットネット「Zeus」に関連した不正プログラムであろう。これまでも、「オーダーメイドのスパムメール」や「Facebookになりすましたスパムメール」、「アメリカ合衆国内国歳入庁(IRS)を装った偽のお知らせスパムメール」など、スパムメール送信者たちは、様々な手口でこの不正プログラムを駆使してきた。そしてほとんどの場合、この種の不正プログラムを利用したスパムメールは、フィッシング攻撃をもたらしている。Zeus関連不正プログラムのファミリーは、キー入力操作情報を記録することにより、アカウント情報などユーザーの個人情報を収集する。この不正プログラムはWebサイトのリストを前もって用意し、ユーザーがこのリスト内の銀行のWebサイトや電子商取引のWebサイト、ソーシャル・ネットワーキング・サイトを閲覧した際に、個人情報を収集する。その結果、ユーザーは個人情報漏えいおよび詐欺の被害者となってしまう。
