今回はまず、米アップルの請求書を装ってユーザーの機密情報を盗み出そうとする攻撃手口についてのブログを紹介しよう。英ソフォスが注意を呼びかけた。パッチ未適用の脆弱性を突く攻撃は何ら新しいものではないが、攻撃者は脆弱性悪用が失敗した場合にもユーザーを感染に導くために、こうした様々な手口を組み合わせてくる。
ソフォスが受け取った電子メールは、アップルから送られてきた請求書に見せかけたもので、受信者が699.99ドルのハガキを購入したことになっていた。
アップルからの請求書を装った電子メール
請求書の宛名がWindows変数「%email%」となっていることから、このソーシャルエンジニアリングは厳密にはパーフェクトとは言えない。それでも、この攻撃者は細かいところに気を配っていると、ソフォスは指摘する。
「View/Download」リンクのURL末尾には「download.jpg.exe」が付いており、「Cancel」および「Not your order」リンクのURLは「check.php」で終わっている。受信者は、これが何の請求書か単に興味が湧いたにしろ、不当な請求に腹を立てたにしろ、リンクをクリックする可能性が高い。これぞ巧妙なソーシャルエンジニアリングと言える。
いずれかのリンクをクリックすると、米国税庁(IRS)をかたる無関係なページに誘導され、使用しているブラウザーが対応していないとの警告が表示される。
IRSを装う不正サイト
攻撃ツール「Blackhole」の典型的なやり方で、いったんこのページが表示されると、Oracle Java、Adobe Flash Player、Adobe Readerに対する攻撃コードを仕掛けようとする。いずれかが成功すると、トロイの木馬型マルウエア「Zeus/ZBot」がコンピュータにインストールされる。
さらに、攻撃コードがどれも働かなかった場合のために、実際には「update.exe」ファイルのダウンロードに導くリンクが、最新バージョンのブラウザーをダウンロードするためだとしてアイコン画像とともに提示されている。
攻撃コードをインストールされるか、あるいは実行ファイルをダウンロードしてしまうと、ユーザーのコンピュータはZeus/ZBotに感染する。Zeus/ZBotはユーザーのキー入力を記録して、銀行口座情報を取得する。
どのような時でも受信メールのリンクを安易にクリックするべきではないが、身に覚えのない取引でお金を支払わされるかもしれないと思えば、クリックしてしまう可能性は高い。しかし容易に信じ込まず、別の信用できる方法を使って確認するべきだと、ソフォスは忠告する。具体的には、請求書メールの送信元となっている企業のWebサイトにアクセスするか、クレジットカードの裏に記載されている電話番号に利用明細を尋ねるなどするとよい。
クリスマスシーズンはサイバー犯罪が増加する。くれぐれも警戒を怠ってはならない。
