セキュリティ組織の米SANS Instituteなどは2007年6月16日、悪質なWebサイトに誘導するメールが多数出回っているとして注意を呼びかけた。メール中のリンクをクリックするだけで、悪質なプログラム(ウイルス)をインストールされる恐れがある。リンク(悪質サイト)のURLはさまざまだが、いずれもHKドメイン(.hk)であることが特徴。
HKは、香港の国/地域別ドメイン(ccTLD: country code TLD)。悪質なWebサイトに誘導するメールの内容はシンプル。件名は「Hello, Pal」などで、本文には「look」といった一文と、HKドメインのURLだけが記載されている。
URLは10種類以上確認されているが、いずれのWebサイトも、ウイルスをインストールさせようとする攻撃サイト。別のウイルスなどによって攻撃者に乗っ取られたパソコンが、攻撃サイトとして悪用されている模様だ。
攻撃サイトには、過去に見つかったWindowsやInternet Explorerのぜい弱性(セキュリティホール)を悪用する仕掛けが施されている。このため、ぜい弱性が存在するパソコンでメール中のURLにアクセスすると、ウイルスを勝手にインストールされてしまう。具体的には、以下のぜい弱性を突く仕掛けが施されている。
- GDI の脆弱性により、リモートでコードが実行される (925902) (MS07-017)
- Internet Explorer 用の累積的なセキュリティ更新プログラム (867282) (MS05-014)
- Microsoft Data Access Components (MDAC) の機能の脆弱性により、コードが実行される可能性がある (911562) (MS06-014)
- Windows Explorer の脆弱性により、リモートでコードが実行される (923191) (MS06-057)
これらのぜい弱性があるパソコンでは、メール中のURLをクリックするだけでウイルスに感染する。また、セキュリティ更新プログラム(修正パッチ)を適用してぜい弱性を解消しているパソコンでも、攻撃サイトで表示されたリンクをクリックすると、ウイルスをダウンロードさせられる(図)。
攻撃サイトに誘導するようなメールは後を絶たない。パソコンの環境によっては、今回のようにメール中のリンクをクリックするだけで被害に遭う場合もある。信頼できないメールについては、添付ファイルを開かないことはもちろん、本文中のリンクをクリックしないことが重要だ。
