トレンドマイクロは2011年12月21日、朝鮮民主主義人民共和国(北朝鮮)の金正日氏に関するウイルスメールを確認したとして注意を呼びかけた。添付されているPDFファイルを開くとウイルスに感染し、パソコンを乗っ取られる恐れがあるという。
大きな災害が起きた場合や、有名人の死去やスキャンダルなどが報じられた場合には、それらを“題材”にしたウイルスメールや迷惑メール(スパム)がほぼ確実に出現している。
今回確認されたのは、死去したことが12月19日に報じられた金正日氏に関するウイルスメール。メールは英語で書かれている。件名は「N Korean leader Kim Jong-il dies」、本文は、「[CNN] North Korean leader Kim Jong-il has died of a heart attack at the age of 69, state media have announced.(トレンドマイクロによる日本語訳:北朝鮮の指導者・金正日氏が心臓発作で死去、享年69歳と発表された)」。
メールには、この件名や本文に関連すると思われるPDFファイルが添付されている。ファイル名は「brief_introduction_of_kim-jong-il.pdf.pdf」。このファイルには、Adobe Reader/Acrobatの脆弱性を突く仕掛けが施されている。脆弱性の影響を受けるのは、Adobe Reader/Acrobatのバージョン9.4.3およびそれ以前。
脆弱性があるAdobe Reader/Acrobatでこのファイルを開くと、中に仕込まれたウイルスが動き出してパソコンに感染。攻撃者が、そのパソコンをインターネット経由で操作できるようにする。
動き出したウイルスは、ダミーのPDFファイルを表示(図)。感染したことをユーザーに気付かせない。
同社では、今回例示したメール以外にも、金正日氏の死去に便乗したウイルスメールを確認。そのメールには、「Kim_Jong_il___s_death_affects_N._Korea___s_nuclear_programs.doc」という文書ファイルが添付されているという。
このファイルには、マイクロソフトOfficeの脆弱性を突く仕掛けが施されている。このため、脆弱性を修正していないOffice XP/2003/2007/2010で開くと、上記の事例と同様に、パソコンを乗っ取られる恐れがある。この脆弱性を修正するセキュリティ更新プログラム(パッチ)は、2010年11月10日に公開されている。
