セキュリティ企業各社は2008年4月7日、米グーグルが提供するブログサービス「Blogger」を悪用するウイルスメールが出回っているとして注意を呼びかけた。攻撃者は、同サービスが提供するブログサイトにウイルス(悪質なプログラム)を仕掛け、メールを使って同サイトに誘導し感染を広げる。実際、編集部にも同様のメールが送られてきている。
出回っているメールの件名は「With All My Love」など。メールの本文には、「Poem About Us」といった英語の一文と、BloggerのブログサイトのURL「http://○○○○.blogspot.com」が記載されている(図1)。
このブログサイトは、攻撃者が「わな」用に取得したサイト(図2)。Webページのタイトルは「I Love You」で、ハート模様の画像が貼られている。このページにアクセスすると、数秒後に「withlove.exe」というウイルスが、ブログサイトとは異なるサイトからダウンロードされそうになる。また、画像をクリックすると、ファイル名が「love.exe」のウイルスが別サイトからダウンロードされる。
いずれも、2007年1月以降、大きな被害をもたらしているウイルス「Storm Worm(ストームワーム)」の亜種。ストームワームの基本的な手口は、今回のように、迷惑メールでユーザーをウイルスサイトへ誘導すること。迷惑メールを送信しているのは、ストームワームに感染したパソコンだとみられる。
従来の手口では、迷惑メールで誘導するウイルスサイトも、感染パソコン上に構築されているケースが多い。また、迷惑メールに記載されているURLの多くは、ドメイン名を含む文字列ではなく、数字の羅列であるIPアドレス。
しかし今回は、広く知られているBloggerが提供するサイトを誘導先にしている。このため、URLがIPアドレスの場合と比べれば、クリックしてしまうユーザーは多いと考えられる。
フィンランドのエフ・セキュアによれば、ウイルスをダウンロードさせる仕掛けが施されたブログサイトは、攻撃者が新規に取得したものだけ。以前から存在する、正規のブログサイトがウイルスサイトに改変されたケースは確認していないという。
