HACKER MEDICINE

現在、ケニアのテロ攻撃に関するニュースを悪用するスパムが増えています。スパマーがユーザーに送りつける電子メールメッセージは、あたかもテロ攻撃に関するニュースのように見えますが、実際にはマルウェアが含まれています。スパムメールのメッセージ本文には悪質な URL が含まれており、その URL をクリックすると、W32.Extrat をダウンロードする感染した Web ページにリダイレクトされます。

マルウェアが実行されると、以下のファイルが作成される可能性があります。

• %Windir%\installdir\server.exe

これにより、攻撃者はユーザーのパスワードを盗み出して、重要なファイルやユーザーに関する情報にアクセスできるようになります。

図. .exe ファイルをダウンロードするよう求めるスパムメールのスクリーンショット

この電子メールには「Click HERE to view & watch」というメッセージが書かれており、ウエストゲートモールで起きたテロ攻撃のビデオや画像を見るためにリンクをクリックするよう促しています。リンクをクリックすると、感染した Web ページが開き、Web ページが読み込まれると、「Kenya terror Video.exe」ファイルをダウンロードするよう求めるポップアップが表示されます。この実行可能バイナリファイルは W32.extrat という名前の一般的な形式のマルウェアです。ダウンロードすると、ユーザーのコンピュータ上の脆弱性が悪用される恐れがあります。スパマーは、このテロ攻撃に関する情報を探している大勢のユーザーを誘い込むための罠として、ビデオと画像が見られると謳っているのです。

このスパムメールでは、以下のような件名が使われています。

• Official: Kenya mall attackers Video（公式: ケニアのモールで起きたテロ攻撃のビデオ）

このスパムメールに含まれる悪質な URL のサンプルを以下に示します。

• http://[削除済み].[削除済み].com/u/210772057/Kenya terror Video.rar

シマンテックのエンドポイント保護テクノロジでは、この種の悪質なサイトがシマンテックにまだ報告されていない場合でも、サイトを予防的に検出し、特定することができます。シマンテックでは、ノートン アンチウイルスやノートン インターネットセキュリティといった、ウイルス対策やスパム対策のテクノロジが組み込まれた製品によって、この種の攻撃からお客様を保護しています。

シマンテックは、この攻撃で使われているマルウェアを W32.Extrat として検出します。

悪質な攻撃を防ぐために、以下の基本的なセキュリティ対策（ベストプラクティス）に従うことをお勧めします。

• 疑わしい電子メールメッセージに含まれる添付ファイルを開いたり、リンクをクリックしたりしない。
• 電子メールに返信するときに個人情報を記述しない。
• ポップアップページやポップアップ画面に個人情報を入力しない。
• セキュリティソフトウェアを常に最新の状態に保つ。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Spammers are now leveraging news around the Kenya terror attack by targeting users through an email message that claims to contain news on the attack but if fact contains malware. The spam email includes a malicious URL in the body of the message that …

今、世界中で見出しを賑わせているニュースといえば、新年度予算が成立しなかったことを受けて、米国政府機関の一部業務が停止していることでしょう。サイバー犯罪者は、これまでも社会情勢をいち早く悪用してきましたが、この政府機関の業務停止にも目を付けて、さまざまなスパムメッセージを送り始めています。そうしたスパムメッセージが、Symantec Probe Network でも検出され始めました。確認されたスパムサンプルの大多数は、自家用車やトラックの在庫一掃セールを宣伝するものです。メールに記載されている URL をクリックすると、偽の広告が掲載された Web サイトに自動的にリダイレクトされます。

図 1. 米政府機関の業務停止を題材にしたスパムメール

シマンテックが確認したメッセージでは、ランダムな電子メールヘッダーが使われており、スパム対策用のフィルタをすり抜けようとしているものと考えられます。今回のスパム攻撃で使われているヘッダーには、一目で区別できるものもあります。

• 件名: Half-off our autos for each day the US Govt is shut down（政府機関の業務が停止している間は毎日、自動車が半額）
• 件名: Get half off MSRP on new autos for each day of govt. shut down（政府機関の業務が停止している間は毎日、自動車が希望小売価格の半額）
   
• 差出人: [名前] <shut.down@[削除済み]>
• 差出人: [名前] <short.term@[削除済み]>
• 差出人: [名前] <very.limited@[削除済み]>
• 差出人: [名前] <limited.event@[削除済み]>

スパムメッセージに記載されているリンクでは、以下のようなパターンが確認されています。

• [ドメイン名]/[ランダムな文字]govt-shut[ランダムな数字]do.wn_event[ランダムな数字]

迷惑メールや心当たりのない電子メールの扱いにはご注意ください。シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、スパム攻撃に対して厳重な監視を続けています。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。