米シマンテックは2010年12月7日、内部告発サイト「ウィキリークス(WikiLeaks)」をかたる悪質メールが出回っているとして注意を呼びかけた。メール中のリンクをクリックするとウィキリークスの偽サイトに誘導され、極秘情報に見せかけたウイルスをダウンロードさせられる。
ここ数日、ウィキリークスが大きな話題になっている。このためセキュリティ組織の米US-CERTなどでは、ウィキリークスをかたるウイルスメールやフィッシング詐欺メールが出回る可能性が高いとして注意を呼びかけていた。
今回、その予測通りに、ウィキリークスをかたるウイルスメールが出現した(図1)。メールは英語で書かれている。送信者名は「WikiLeaks」と偽装している。件名は「IRAN Nuclear BOMB!」、本文には「OBAMA is an IMPOSTOR!」の一文と、あるサイトへのリンクが記載されている。
リンクをクリックすると、ウィキリークスに見せかけた偽サイトに誘導され、「Wikileaks.jar」というファイルがダウンロードされそうになる(図2)。同ファイルをダウンロードして実行すると、別のサイトから「226.exe」というファイルがダウンロードされて勝手に実行される。
この226.exeは、シマンテックが「W32.Spyrat」と分類しているウイルス。このウイルスに感染すると、パソコンを乗っ取られてしまう。例えば、インターネット経由で攻撃者に任意のファイルを勝手に読み書き・実行されたり、パソコンに保存しているパスワードを盗まれたりする。パソコンのWebカメラを操作されて盗撮される恐れなどもある。
シマンテックでは、信頼できないメールのリンクをクリックしたり、添付ファイルを開いたりすることは危険だとして、改めて注意を呼びかけている。
