Tag Archives: spam

寄稿: Avdhoot Patil

アラブ諸国の各地で最近勃発している紛争は、しばらく前からフィッシング詐欺師の関心を引いています。シリア騒乱を悪用したフィッシング詐欺もその一例ですが、今度は、反政府運動が続くエジプトの政情不安が利用されています。2013 年 3 月には、フィッシングサイトでエジプトのアフマド・シャフィーク元首相が利用されました。フィッシングサイトのホストサーバーは米国ノースカロライナ州に置かれ、ドメイン名には「Ahmed Shafik」の名が使われていました。

図 1. アフマド・シャフィーク元首相の公式サイトに偽装したフィッシングサイト

このフィッシングサイトは、一見すると元首相の公式ページのような作りです。アラビア語で書かれたメッセージは、アフマド・シャフィーク元首相に関する最新ニュースを購読するために、2 つのブランドのいずれかを選択するよう促しています。ここで利用されているのは、あるソーシャルネットワークサービスと情報サービスで、どちらかのロゴをクリックすると、ユーザーはそれぞれのログインページに偽装したフィッシングサイトにリダイレクトされます。フィッシングページのコンテンツは、元首相を応援する内容に改変されています。このフィッシングサイトに騙されたユーザーは、個人情報を盗まれてしまいます。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

• 電子メールメッセージの中の疑わしいリンクはクリックしない。
• 電子メールに返信するときに個人情報を記述しない。
• ポップアップページやポップアップ画面に個人情報を入力しない。
• 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
• ノートン インターネットセキュリティなど、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Contributor: Avdhoot Patil
Phishers have already shown interest in the violence that erupted recently in various parts of the Arab world. The phishing attack involving Syria is a good example. Phishers are now taking advantage of the political unrest i…

寄稿: Avdhoot Patil

インド映画は、依然としてフィッシング詐欺に好んで利用されています。インド映画『Bodyguard』を題材にしたフィッシングサイトはその一例でしたが、今月に入ってからもシマンテックは、テルグ語の映画『Brindavanam』を餌にしたフィッシング攻撃を確認しました。

このフィッシングサイトの左側には、女優のサマンサ（Samantha）さんとカジャル・アガルワル（Kajal Aggarwal）さんの出演する映画『Brindavanam』のミュージカルナンバーの画像が掲載されています。画像の下には映画のあらすじも紹介されており、ログインすればビデオを視聴できると称して、ログイン情報を入力するように要求します。ミュージカルナンバーの画像は、この映画の公式サイトから取られたものでした。ログイン情報を入力すると、ユーザーは映画の公式サイトにリダイレクトされ、そこでも同じビデオが紹介されています。フィッシング詐欺師は、ミュージカルナンバーと有名キャストの人気にあやかって多くのユーザーを集めれば、それだけ多くの個人情報を盗み出せると考えたに違いありません。

映画の公式サイトにリダイレクトさせるのは、有効なログイン処理が実行されたとユーザーに信じ込ませるための手口です。この手口に乗ってログイン情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。今回のフィッシングサイトのホストサーバーは、カナダのモントリオールに置かれていました。

フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

• 電子メールメッセージの中の疑わしいリンクはクリックしない。
• 電子メールに返信するときに個人情報を記述しない。
• ポップアップページやポップアップ画面に個人情報を入力しない。
• 個人情報や口座情報を入力する際には、鍵マーク、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
• ノートン インターネットセキュリティなど、オンラインフィッシングを防止するセキュリティソフトウェアを頻繁に更新する。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

寄稿: Christopher Mendes

2013 年 4 月 15 日、多数の参加者が自己の限界に挑みながら完走を目指していたボストンマラソンを卑劣な行為が襲いました。ゴール付近で 2 度の爆発事件が発生したのです。事件が起きてからわずか数時間のうちに、マルウェアが仕組まれた大量のスパムメールが出回りはじめました。

シマンテックは、スパム対策、侵入防止システム（IPS）、ウイルス対策を使う多層型の検出技術で攻撃を遮断しており、シマンテック製品をお使いのお客様はこの攻撃から保護されています。ウイルス対策は、ダウンロードされるファイルを Packed.Generic.402 として検出し、IPS はこの攻撃を Web Attack: Red Exploit Kit Website として検出します。

スパムメール自体はごく単純なものです。メッセージ本文には、[削除済み]/news.html または [削除済み]/boston.html へのリンクが記載されています。

図 1. スパムメールのサンプル

リンクをクリックすると、図 2 のように感染した Web ページが開きます。この Web ページには、事件現場を収めた一連のビデオが表示されています。ページの最後には、読み込み途中のビデオがあり、Red 悪用ツールキットにリンクされています。これが、ユーザーのコンピュータ上でさまざまな脆弱性を悪用します。悪用に成功すると、boston.avi_______.exe というファイルのダウンロードするよう求めるポップアップが表示されます。

図 2. 感染した Web サイト

スパムメールメッセージには、以下のような件名が使われています。

• 件名: 2 Explosions at Boston Marathon（ボストンマラソンで 2 度の爆発）
• 件名: Explosion at Boston Marathon（ボストンマラソンで爆発）
• 件名: Explosion at the Boston Marathon（ボストンマラソンで爆発）
• 件名: Boston Explosion Caught on Video（ビデオがとらえたボストンマラソン爆発の瞬間）
• 件名: Boston attack Aftermath（ボストン爆発事件の余波）
• 件名: Boston Aftermath（ボストンのその後）

図 3. ボストンマラソンを悪用するスパムメールの件数

スパマーの意図は、当然ながら爆発事件に関するビデオや情報を共有することではなく、今回の惨劇を悪用してマルウェアを拡散することにあります。

このような卑劣な手段には、引っかからないようにしてください。メールメッセージに記載されている疑わしいリンクはクリックせず、セキュリティソフトウェアを常に最新の状態に更新しておくことをお勧めします。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Contributor: Christopher Mendes
On the afternoon of April 15, 2013, just when many people were on the cusp of conquering another personal milestone by completing the Boston Marathon, they were hit hard by an act of cowardice. Two bombs struck near…

Contributor: Avdhoot Patil

Phishers continue to target Indian movies with phishing scams. The phishing site featuring the movie “Bodyguard” is one example, and this month Symantec observed a phishing attack in which phishers used a song from the Telugu movie “Brindavanam” as bait.

The phishing site displayed a picture of a musical number from the movie “Brindavanam” starring Telugu actresses Samantha and Kajal Aggarwal in the left side of the phishing page. There is also a plot summary of the movie below the image. The phishing page then encouraged users to enter their login credentials stating that, after logging in, they could watch the video. The pictured musical number from the movie was taken from the legitimate movie website. After login credentials are entered, users are redirected to this legitimate movie website which features the same video. Due to the popularity of this musical number, and the star cast, phishers were probably hoping for a large audience, increasing the number of user credentials they could steal.

The phishers’ redirection to a legitimate Web page is to create the illusion of a valid login for duped users. If users fell victim to the phishing site by entering their login credentials, phishers would have successfully stolen their information for identity theft purposes. The phishing site was hosted on server based in Montreal, Canada.

Users are advised to adhere to the following best practices to avoid phishing attacks:

• Do not click on suspicious links in email messages
• Do not provide any personal information when answering an email
• Do not enter personal information in a pop-up page or screen
• Ensure the website is encrypted with an SSL certificate by looking for the padlock, “https”, or the green address bar when entering personal or financial information
• Update your security software frequently (such as Norton Internet Security which protects you from online phishing)

Contributor: Sandeep Ingale
When it comes to financial organizations, being informed about best security practices is every customer’s right. Many organizations provide this information on their websites to help their customers learn how to take …