セキュリティ企業の米トレンドマイクロは2008年4月6日、米マイクロソフトをかたるウイルス添付メールを確認したとして注意を呼びかけた。ウイルスをセキュリティ更新プログラム(修正パッチ)に見せかけてインストールさせようとする。
今回確認されたウイルスメールは、英語で記述されている(図1)。送信者名は「Microsoft Corp.」と偽装されていて、件名は「Critical patch released(緊急パッチがリリース)」。
本文には、「Microsoft OutlookとExchange Serverには危険な脆弱(ぜいじゃく)性が見つかってゼロデイ攻撃に悪用されているので、すぐに修正パッチを適用してほしい」といった内容が書かれている。そして、修正パッチに見せかけたウイルスを圧縮した「advisory.zip」というファイルが添付されている。
今回のように、ウイルスを修正パッチに見せかける手口自体は目新しいものではない。例えば2003年には、今回同様、マイクロソフトの修正パッチに見せかける「スウェン」というウイルスが流行した。
今回のウイルスメールが目新しい点の一つは、月例パッチ公開日(米国時間第2火曜日)の直前に出回ったこと。4月のパッチ公開日である米国時間4月8日(日本時間では4月9日)には、8件の修正パッチの公開が予定されている。この月例パッチに関係のあるメールだと誤解して、だまされるユーザーがいると考えられる。
もう一つは、2種類のウイルスに感染させようとする点。メールに添付されたZIP圧縮ファイルを展開すると、トレンドマイクロが「TROJ_AGENT.AZZZ」と命名したウイルスが生成される。このウイルスは、別のウイルスをインターネットからダウンロードして感染させる「ダウンローダー」。
また、メール中に記載されたリンク(URL)をクリックすると、同社が「TROJ_AGENT.AZAZ」と名付けた別のウイルスがダウンロードされそうになる(図2)。このTROJ_AGENT.AZAZもダウンローダーの一種。アイコンを偽装してPDFファイルに見せかけているが、実体は実行形式ファイル(アプリケーション)。実行すると、別のウイルスを次々とダウンロードして感染させる。
トレンドマイクロでは、要求していないのに送られてきたメールは信用しないよう、改めて注意を呼びかけている。実際、マイクロソフトのようなソフトメーカーが、修正パッチをメールに添付して送ってくることはない。