米Red Hatは米国時間10月23日,同社をかたる偽メールが出回っていることを警告した。メールは同社のRed Hat Security Teamをかたり,特定のURLから修正パッチ(プログラム)をダウンロードして実行するよう勧めている。実際には,そのプログラムを実行すると,管理者権限を持つユーザーを勝手に登録されるとともに,そのコンピュータの情報をメールで送信される。同社では,メールやプログラムのデジタル署名を検証するよう注意を呼びかけている。
偽メールの件名は,「RedHat: Buffer Overflow in 'ls' and 'mkdir'」。メールには,「管理者権限(root権限)で任意のプログラムを実行させられる危険なセキュリティ・ホールが見つかったので,修正パッチ(critical-critical update)をすぐにインストールしてください」といった内容が英語で書かれている。
修正パッチの置き場所としてリンクが書かれているのは,ある大学のコンピュータのURL。指定されたとおりに,修正パッチに見せかけたプログラムをダウンロードして実行すると,管理者権限を持つユーザーが勝手に追加され,同時にそのコンピュータのシステム情報が,あるメール・アドレスへ送信される。なお,このリンク先は既に閉鎖されているという。
【10月26日追記】修正パッチに見せかけたプログラムが置かれていたのは,ある大学のコンピュータであるが,そのURLには「fedora-redhat.com」が使われていた。一見,Red Hatに関係があるドメインに思えるが,全くの無関係。【以上,10月26日追記】
今回の偽メールは不特定多数に送信されている。このためRed hatでは,「Red Hat Security Teamからの公式なお知らせが不特定多数に送信されることはない(登録ユーザーにしか送信されない」ことを強調している。
加えて,「公式なお知らせは secalert@redhat.com からのみ送信する」こと,「メールはGPGでデジタル署名を施している」こと(同社のGPGキーに関する情報はこちら),「同社が公開する修正パッチ(アップデート)にもデジタル署名が施されているので,インストール前には必ず確認する」こと――を呼びかけている。
ベンダーをかたって悪意のあるプログラムをパッチにみせかける“手口”自体はめずらしくない。特に,米Microsoftからのメールに見せかけて,悪意のあるプログラムや,そのリンクを送り付けてくる偽メールは数年前から見つかっている。自分自身を修正プログラムに見せかけるウイルスも出現している(関連記事)。このためマイクロソフトでは,「同社がソフトウエアをメールで直接配布することは一切ない」ことをWebページで以前から呼びかけている。
◎参考資料
◆Security and Updates(米Red hat)
◆ソフトウェアの配布に関するマイクロソフトの方針(マイクロソフト)
(勝村 幸博=IT Pro)
