??????? .zip ?????
![figure1_6.png](https://www.symantec.com/connect/sites/default/files/users/user-2935611/figure1_6.png)
![figure2_7.png](https://www.symantec.com/connect/sites/default/files/users/user-2935611/figure2_7.png)
![figure3_3.png](https://www.symantec.com/connect/sites/default/files/users/user-2935611/figure3_3.png)
![figure4_2.png](https://www.symantec.com/connect/sites/default/files/users/user-2935611/figure4_2.png)
![figure5_0.png](https://www.symantec.com/connect/sites/default/files/users/user-2935611/figure5_0.png)
…a valuable resource for securing websites, PCs and mobile devices
詐欺師がインターネットユーザーの気の緩みを狙うのは、特に驚くことでもありません。
シマンテックは、ホリデーシーズン後の数日間にわたって、新たにマルウェアが増加していることを確認しました。休暇が終わると、重要なメッセージを見逃していないかどうかを確かめるために、多くのユーザーがツールや電子メールを確認します。スパマーはそこを狙って、ユーザーが電子メール中の悪質なリンクをクリックすることに期待を掛けているのです。
今回の一連の攻撃では、スパマーはユーザーが緊急性の高い電子メールを開いて返信しようとするところを狙っています。実際にそうすると、マルウェアがユーザーのコンピュータに感染し、機密データが盗み出されてしまいます。
私自身も先週、有名なオンラインストアから送信されたように偽装した配達不能通知を受け取りました。休暇で留守にしていた間に、いくつか荷物を届けることができなかったという内容です。
最初は、何も注文していないのになぜこのような通知が届いたのかいぶかり、ひょっとしたら思いがけないプレゼントなのかもしれないと考えました。しかし、電子メール中のリンクをクリックする前にステータスバーを確認したところ、そのリンクは詐称されたもので、さらに電子メールで使われている言葉遣いや文法上の誤り(図 1 を参照)を見て、疑惑は確信に変わりました。
図 1. 文法上の誤りと悪質なリンクが含まれたスパムメール
同様に、スパマーが別の有名ブランドに偽装し、請求書に見せかけて悪質なリンクを埋め込んでいる電子メールも受け取りました。幸い、正規のブランドで使われているテンプレートとは違いがあり、偽装した電子メールのヘッダーはまったく無関係のものでした。さらに調べてみると、埋め込まれているリンクにはマルウェアが仕掛けられていました。図 2 に示すように、スパムには乗っ取られた URL が使われています。
図 2. 配達不能通知に見せかけた別のスパムメール
さらには、見ず知らずの人の葬儀に招待する電子メールも受け取ったことがあります。私はまず、その家族を知っていたか、または大学時代の友人だった、あるいは近所に住んでいたかどうか確認し始めましたが、そのうち電子メール中のリンクが悪質なものであることに気が付きました。
図 3. 葬儀を案内するスパムメール
こうしたスパムメールに対して、ユーザーは 2 つの方向からアプローチする必要があります。警戒しながら電子メールをふるいに掛けることと、詐欺師の間違いを見抜けるようになることです。
こういったスパムメールでは、文法上の誤りや、文構造の不備が多く、ある小売業者に偽装しておきながら電子メールヘッダーはその競合他社になっているといった偽装戦術の失敗も見受けられます。乗っ取られたドメインと URL を順々に使い回す手口も使われますが、それが偽装したブランドや企業と無関係という場合もあります。
ホリデーシーズン後の憂鬱な気分を乗り越える一方で、電子メールを扱う際には警戒を怠らず、休暇ぼけを詐欺師に悪用されないように注意してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
It is not surprising to see scammers exploiting the laxity of Internet users.
Symantec has observed another malware wave over the past few days following the holiday season, as many users check their utility and official emails post-vacation to see if they missed out important ones. This is where spammers take their chances that users will click on malicious links in their emails.
In this wave of attacks, spammers are taking advantage of users’ urgency to open a link and respond to the email instantaneously. When this happens, the malware infects users’ computers and extracts confidential data.
Last week, I too, received some delivery failure notification emails that claim to be from well-known stores with an online presence, stating that I missed out a couple of parcels while I was away on vacation.
At first, I wondered how it happened since I did not place any orders, and the thought that they might be surprise gifts also crossed my mind.
However, just before clicking the link, I checked the status bar only to find that the link had been spoofed. This raised my level of suspicion, which was further confirmed by the language and grammatical errors used in the email, as shown in the following figure:
Figure 1: A spam email with grammatical errors and a malicious link
Similarly, there was an email in which the spammer masquerades another well-known brand, making the message appear to be a statement, while embedding a malicious link.
Fortunately, there was a goof-up between the template used by the brand and the email headers which belonged to another email, with no association between both. Upon further inspection, it was found that the embedded link contained a malware.
The spam run also used a hijacked URL as shown in the following figure:
Figure 2. Another spam email on delivery failure
I bumped into another email which invited me to attend the funeral of someone I did not know. I began to check if I knew the family by any chance, or if it was a college friend, or a neighbor, but then discovered that the link in the email was malicious.
Figure 3: A spam email on a funeral notice
Such spam emails require users to adopt a two pronged approach–to be on guard while sieving through emails, and be able to see through the mistakes made by scammers.
Some of which could be a coercion to click on a link immediately, but they are full of grammatical errors, faulty sentence structures, tactical errors of spoofing one retail operator and associating the email headers with a competitor. Another tactic employed in such spams is the use of hijacked domains and URLs which are rotated and recycled over time, but have no association with the brands or entity.
While you are overcoming your post-holiday blues, Symantec recommends that you exercise diligence when dealing with your emails, and not let scammers exploit your vacation hangover.
寄稿: Binny Kuriakose
「Hello world(ハローワールド)」、当社はデジタル対応です。そんな謳い文句はもう過去の話になりました。今では、スピードに対する要求から超特急の対応が迫られています。なにしろ、ボタンをひとつクリックするだけで、望みの Web ページを瞬時に用意できる時代です。実際、インターネットがもたらすコスト効果の高いビジネスと世界的な事業展開を狙って、企業は次々と Web に移行しています。そうした傾向に舌なめずりしているのがスパマーです。スパマーにとって、何も知らない無防備な獲物だらけになるクリスマスほど最高の狩猟シーズンはほかにはありません。
スパマーは、クリスマスシーズンに展開されるビジネスを体系的に吟味してさまざまなカテゴリを利用しています。年の瀬に迎えるクリスマスシーズンの祝い方を 7 月初めという早い時期から計画する人向けの宿泊施設関連のスパムから、帰宅前に大慌てでショッピングに走る駆け込み組向けのスパムまで、実に用意周到です。
差出人: Christmas Luxury <[name]@[domain].com>(特別なクリスマス <[名前]@[ドメイン].com>)
件名: A journey of Christmas luxuries(クリスマスに豪華なご旅行を)
図 1. 宿泊施設関連スパムのプレビュー
件名: XMAS PROMOTION!!(クリスマス特集!!)
差出人: “[Brand name] JACKPOT COMPANY INC.” <[name]@[domain].com>(”[ブランド名] JACKPOT COMPANY INC.” <[名前]@[ドメイン].com>)
図 2. 「ナイジェリア詐欺」タイプのスパムのプレビュー
差出人: “[Brand name] giving an oil painting” <[name]@[domain].com>(”[ブランド名] から油絵を贈ります” <[名前]@[ドメイン].com>)
差出人: Christmas Luxury <mail@[domain].com>(特別なクリスマス <mail@[ドメイン].com>)
差出人: Chocolates Inquiry <mail@[domain].com>(チョコレートをお探しなら <mail@[ドメイン].com>)
差出人: “Holiday Ornaments” <Holiday.Ornaments@[domain].com>(”ホリデーシーズンの装飾品” <Holiday.Ornaments@[ドメイン].com>)
件名: Exclusively Designed Christmas Ornaments(特別デザインのクリスマス装飾品)
件名: Delicious Christmas Chocolates !(おいしいクリスマスチョコレート!)
件名: ★ Attention Early Birds(注目の早期割引特典)
件名: A journey of Christmas luxuries(クリスマスの特別旅行)
件名: as a Christmas gift”[Brand name](クリスマスギフトに “[ブランド名] はいかが)
図 3. 名前入りギフトスパムのプレビュー
差出人: “Early x-mas shopping” <[name]@[domain].com>(”早めのクリスマスショッピング” <[名前]@[ドメイン].com>)
件名: [Brand name] Smart Phone Clearout. 55% off MSRP([ブランド名] のスマートフォンを在庫一掃。メーカー希望小売価格の 55% オフ)
件名: Thinking about Christmas?(クリスマスのご予定はもうお考えですか)
差出人: “[Brand name]” <[name]@[domain].com>(”[ブランド名]” <[名前]@[ドメイン].com>)
件名: ★ Attention Early Birds(注目の早期割引特典)
件名: Great for Christmas(クリスマスに最適)
差出人: “Join us AT “[Brand name]” <[name]@[domain].com>(”ご一緒に “[ブランド名]” はいかがですか<[名前]@[ドメイン].com>)
件名: Christmas coming soon!! . Are you ready for the hot selling reason.(クリスマスはもうすぐ!! 大ヒット商品のそのワケを知るチャンス)
差出人: “[Brand name] <[name]@[domain].com>(”[ブランド名] <[名前]@[ドメイン].com>)
図 4. 模造品スパムのプレビュー
図 5. 各種商品関連スパムのプレビュー
件名: BY Christmas Drop 23lbs(クリスマスまでに 10kg 減量)
件名: Look 23lbs thinner Christmas(10kg スリムになってクリスマスを迎えましょう)
件名: Did you see me on television Thursday?(木曜日のテレビはご覧になりましたか?)
差出人: “[Brand name]” <[name]@[domain].com>(”[ブランド名]” <[名前]@[ドメイン].com>)
図 6. 医薬品関連スパムのプレビュー
差出人: “Date Someone” <[name]@[domain].com>(”デートの相手を探そう” <[名前]@[ドメイン].com>)
差出人: “Senior Dating” <[name]@[domain].com>(”シニア専用出会い系” <[名前]@[ドメイン].com>)
件名: Find a hot Christian this Christmas in your area(今年のクリスマスは、お近くでホットな出会いを)
件名: Find a local love to cuddle with this Christmas(今年のクリスマスは、地元で見つけた恋人を抱きしめよう)
図 7. 出会い系スパムのプレビュー
差出人: Santa <Santa@[domain].com>(サンタ <Santa@[ドメイン].com>)
件名: Letters from Santa for your child(サンタからお子様への手紙)
図 8. 子ども向けの名前入りギフトカードスパムのプレビュー
図 9. クリスマススパムの件数を示した円グラフ
全体的に今年のクリスマススパムはテーマの範囲が広いようです。目的は、魅力的な謳い文句で好奇心をくすぐり、リスクの高い行動に至るユーザーや、安全ではないシステム、中途半端なソリューションを悪用することにあります。スパマーの関心は依然として、あらゆる人々の傾向を十分に理解して悪用し、ユーザーを誘導して重要な情報を引き出したり、怪しい Web ページにアクセスさせたりすることに集中しています。
電子メールの細かい部分に注意を払いながら、以下の点に注意してそれが正規のものかどうかを判断してください。
ホリデーシーズンに電子メールを経由してオンラインで商品を購入する場合には、十分に警戒することをお勧めします。シマンテックは、マルウェアやスパムを遮断する保護対策を提供していますが、皆さんもウイルス対策のシグネチャを定期的に更新して、最新の脅威から身を守るようにしてください。保護対策を怠らず、けっして無制限に個人情報を公開しないようにしてください。
安全で楽しいクリスマスをお過ごしください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
Contributor: Binny Kuriakose
‘Hello world’ we are digital! Well that was ages ago. Today the need for speed has made us extra fast. A click of a button and the desired webpage is up and running in an instant. In fact, organizations are switching to the Web because of cost effective business and global presence the Internet provides. This phenomenon has made predators smack their lips. What better environment to make a kill than Christmas, with the unaware and the vulnerable abound!
With a systematic study of business done during Christmas, spammers have leveraged a plethora of categories since early July, ranging from hospitality-related spam for those who plan early on how to celebrate Christmas later in the year, to last minute shoppers who scramble to buy gifts before rushing home. Now, that is a well-planned spread.
From: Christmas Luxury <[name]@[domain].com>
Subject: A journey of Christmas luxuries
Figure 1. A preview of hospitality spam
Subject: XMAS PROMOTION!!
From: “[Brand name] JACKPOT COMPANY INC.” <[name]@[domain].com>
Figure 2. A preview of a Nigerian-type spam
From: “[Brand name] giving an oil painting” <[name]@[domain].com>
From: Christmas Luxury <mail@[domain].com>
From: Chocolates Inquiry <mail@[domain].com>
From: “Holiday Ornaments” <Holiday.Ornaments@[domain].com>
Subject: Exclusively Designed Christmas Ornaments
Subject: Delicious Christmas Chocolates !
Subject: ★ Attention Early Birds
Subject: A journey of Christmas luxuries
Subject: as a Christmas gift”[Brand name]
Figure 3. A preview of personalized gifts spam
From: “Early x-mas shopping” <[name]@[domain].com>
Subject: [Brand name] Smart Phone Clearout. 55% off MSRP
Subject: Thinking about Christmas?
From: “[Brand name]” <[name]@[domain].com>
Subject: ★ Attention Early Birds
Subject: Great for Christmas
From: “Join us AT “[Brand name]” <[name]@[domain].com>
Subject: Christmas coming soon!! . Are you ready for the hot selling reason.
From: “[Brand name] <[name]@[domain].com>
Figure 4. A preview of a replica spam
Figure 5. A preview of product spam
Subject: BY Christmas Drop 23lbs
Subject: Look 23lbs thinner Christmas
Subject: Did you see me on television Thursday?
From: “[Brand name]” <[name]@[domain].com>
Figure 6. A preview of medicine-related spam
From: “Date Someone” <[name]@[domain].com>
From: “Senior Dating” <[name]@[domain].com>
Subject: Find a hot Christian this Christmas in your area
Subject: Find a local love to cuddle with this Christmas
Figure 7. A preview of dating spam
From: Santa <Santa@[domain].com>
Subject: Letters from Santa for your child
Figure 8. A preview of personalized spam email for kids
Figure 9. A pie chart depicting Christmas spam volume
Overall, the spam panorama this Christmas looks pervasive. The aim is to harness curiosity laced with fantastic offers that can exploit unhealthy user practices, unsecured systems and half-baked solutions. The focus of spammers continue to be on how to best understand and exploit human tendencies and then to entice users to either compromise sensitive information or visit a dubious webpage.
Symantec advises users to pay attention to details while judging the genuineness of the mail by considering the following:
We encourages users to be alert during this festive season while dealing with online offers through emails. Symantec has protection in place to stop malware and spam and advise users to regularly update antivirus signatures to stay protected from latest threats. Protect yourself and limit the amount of your personal information on the public domain.
Symantec wishes you a safe and merry Christmas.
ロシア語のスパムに見られる最新の傾向として、スパマーは一攫千金話の手口を使い始めています。今回のサンプルでは、バイナリオプション取引で簡単にお金が儲かるという謳い文句が使われています。
シマンテックが確認したサンプルには、人目を引く件名を使うという典型的なスパムの特徴が見られます。毎月膨大な金額を稼いでいる人がいると煽って、スパムを受け取ったユーザーの注意を引きつけようとしています。
このスパムは、ロシアで最大の無料電子メールサービス mail.ru から送信されており、アカウント名は、件名に関連している人物の年齢を示唆しています。ヘッダーを翻訳すると次のような内容です。
件名: $3700 a month – this retiree making more than you?(毎月 3700 ドル。定年退職しているのに、あなたより稼いでるって?)
差出人: pensioner.vladimir @mail.ru
これは特に、多くの人々が散財しがちなホリデーシーズンには巧妙な手口です。
図. 年金生活者が大金を稼いでいると謳うスパムメールのサンプル
電子メールの本文には、サマラ地区の年金生活者がバイナリオプションを使って膨大な収入を得ているという広告が掲載され、詳しいことを知りたい場合はハイパーリンクをクリックするように書かれています。リンク先は実際には乗っ取られたドメインであり、2008 年に maxuz.com という Web デザイン会社によって登録されたものでした。このドメインは、主に他のドメインへのリダイレクトに使われています。binarytraders.ru という別のドメインはもっと新しく、2013 年 8 月に登録されたばかりです。この手のスパム専用に作成されたと思われます。このドメインのメインページには、バイナリオプション取引の魅力が書かれ、詳しい手順を説明するビデオも紹介されています。そのうえで、バイナリオプションは今インターネット上で利用できる最も有利な金儲けの手段であると付け加えています。
シマンテックはこのスパムを遮断していますが、ユーザーの皆さんもクリスマスシーズンにはいつも以上に警戒し、一攫千金話の手口にはくれぐれもご注意ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
The latest trend in Russian language spam shows that spammers have started promoting MMF (Make Money Fast) schemes where money can easily be made with the use of Binary Options trading.
The sample observed by Symantec has the usual, spam traits including a “catchy” subject which highlights a large sum of money someone is making every month, to grab the attention of spam recipient.
The spam is sent from mail.ru, the largest free email service in Russia, with the account name stating the age of the person linking it to the subject line. The header is as followed when translated into English:
Subject: $3700 a month – this retiree making more than you?
From: pensioner.vladimir@mail.ru
This is quite a good trick especially before the festive season when many people are stretched with finances.
Figure. A sample of spam email which highlights a pensioner making a lot of money
The body of the message advertises Samara region pensioner’s high income made with the help of Binary Code, and the user is then asked to click on hyperlink to get more information. The hyperlink is in fact a hijacked domain, registered in 2008 which belongs to web design company maxuz.com. It is mainly used for redirection to another domain.
The other domain named binarytraders.ru is registered more recently in August 2013 and is likely to have been created specifically for this kind of spam. The domain’s main page has a list of advantages on why one should be involved in Binary Code trading along with a video with full instructions. It also adds that Binary Options is currently the biggest money making tool available on the internet.
Symantec has blocked this spam, but we wish to remind users to be more alert this Christmas season and beware of quick money schemes.
ワードサラダは、ベイジアンスパムフィルタを回避するためにスパマーが考案した手法です。スパマーの教科書に載るような古典的な手口ですが、この戦術も最先端のスパム対策フィルタリング技術によって、効果が激減しています。
ベイジアンポイズニングの一種であるワードサラダは、まったく無関係な単語が並んだ文字列です。ごく正常で、一般の文章でも見かけるような単語だけが使われているので、ベイジアンフィルタからすれば、ワードサラダを用いた電子メールには、正常なデータが大量にあるにすぎません。ワードサラダがよく使われるのは HTML 形式です。無意味なタグで URL が分断されているため、スパムと思しき URL をアナライザで追跡するのが困難になります。ワードサラダでは、最新ニュースや間近に迫ったイベントなど最新のキーワードを追加するのが最近の傾向です。
映画『ワイルド・スピード』シリーズへの出演で知られるポール・ウォーカーさんの逝去も、スパマーが悪用している最近の一例です。ポール・ウォーカーさんの悲報の数時間後には、「PAUL WALKER」という名前をワードサラダに使った「かんじきスパム」、つまり一撃離脱タイプのスパムが確認されています。ファンがやきもきしながら検死報告を待っていたこともあって、彼の名前は検索キーワードとしても上位を占めています。当初は、命を取り留めたという誤報も流れたほどでした。
図 1. ワードサラダで「PAUL WALKER」というキーワードを使った電子メールの本文
該当するスパムは、このワードサラダ部分を除けば、ポール・ウォーカーさんに関するニュースとはまったく無関係です。プレビューされるのは、テレビや電話、インターネットの広告スパムであり、件名は以下のとおりです。
件名: Cheap Cable-TV, Internet & Phone – Free Equipment, Premium Channels & Install(ケーブルテレビ、インターネット、電話を格安で – 機材も設置も有料チャンネルも今なら無料)
差出人: ~CABLETVSpecialS* <[name]@[domain].com>(~CABLETVSpecialS* <[名前]@[ドメイン].com>)
図 2. スパムのプレビュー
ポール・ウォーカーさんを悼む一方で、これもスパマーがスパムを拡散するためにはどんな手段もいとわないという格好の例であることを忘れないようにしてください。
ポール・ウォーカーさんに謹んで哀悼の意を表します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
クリスマスシーズンは、いろいろなものが緩みがちな季節です。それが「なぜ」かは明白ですし、「どこ」かといえば財布のひもに決まっています。
笑いごとではなく、計画を立てて支出を見直しましょう。手持ちの資金に限りがあることは自分が一番よくわかっていますが、あなたの次にその価値をわかっているのは、あなたのことをいろいろと詮索している何者かです。その手口は驚くほど簡単です。ちょっとした欲や、ほんの少しの不安、わずかばかりの緊急性を煽り立てるだけで、固い決心などすぐに吹き飛んでしまいます。うかうかと騙されてしまった直後に後悔しても後の祭りです。クリスマスに向けて一所懸命に貯めていた大切なお金を一瞬にして盗み取られてしまいます。ここまでの話が遠回しに思えてピンとこなかった場合でも、次のようなフィッシングのサンプルを少し解析してみればよくわかるでしょう。
フィッシングメールのヘッダーは以下のとおりです。
件名: [Brand name] is giving you a chance to shop for free!([ブランド名] で無料のお買い物ができるチャンス!)
差出人: “[Brand name] Card” [name]@[domain].com(”[ブランド名] カード” [名前]@[ドメイン].com)
図 1. クリスマスを狙うフィッシング攻撃に使われているスパムメール
この電子メールは、有名な金融機関から送られてきたように見え、クリスマス向けに「無料クーポン券」を進呈すると謳っています。また、クーポン券を受け取るためと称して「Kindly Click here now(ここをクリックしてください)」と書かれたリンクも含まれており、2013 年 12 月 31 日までの期間限定だと書かれています。
このクーポン券はユーザーが確認した後に送られてくるという点に特に注意してください。つまり、このクーポン券を受け取るには、まずクリックする必要があるということです。ためらわずにクリックしてしまうことは簡単ですが、まず用心しなければなりません。クリスマスともなれば、至るところ詐欺のワナだらけです。
金銭を伴う取引には十分に注意し、不審な点がないかどうか確認したうえで、確実に安全だとわからない限り、電子メールに記載されたリンクはクリックしないでください。騙されないように、電子メール中のリンクが本当に記載どおりの金融機関のものであることを確かめる必要があります。パスワードは定期的に変更し、予測のできない強力なものを使用してください。また、パスワードを他人に知られないようにしてください。
こうした宣伝文句は魅力的ですが、結局は金銭的な被害を受けることになるだけです。後からいくら嘆いても、失ったものを取り戻すことはできません。シマンテックは、オンラインの不正行為やフィッシング攻撃からユーザーを保護するために全力を尽くしますが、詐欺などの犯罪行為を防ぐために基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。
安全で楽しいクリスマスをお過ごしください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。