???????????????????????????
寄稿: Joseph Graziano
ソーシャルエンジニアリングスパムの新たな手口として、ユーザーを欺いてコンピュータ上でマルウェアを実行させようとする巧妙な手法が出回っています。今回マルウェア作成者が使っているのは、ウイルス対策ソフトウェア企業からの電子メールに偽装する手口です。エンドユーザー各自で重要なシステム更新をインストールする必要があると説明したうえで、ウイルス対策ソフトウェアの修正パッチを装ったファイルが添付されています。この電子メールは、Cryptolocker Trojan のように最近メディアを賑わせた新しい脅威を特に想定して、検出定義がまだ用意されていないかもしれないというユーザーの不安につけ込みます。この手のソーシャルエンジニアリングは、ユーザーを誘導して添付ファイルを開かせ、実際には何がインストールされるのかを深く考えないまま修正パッチと称するマルウェアをインストールさせようとするのが特徴です。
シマンテックが確認した電子メールの件名は多岐にわたりますが、なかには著名なセキュリティ企業の名前も使われています。
- AntiVir Desktop: Important System Update – requires immediate action(AntiVir Desktop: 重要なシステム更新のお知らせ – 緊急対応が必要です)
- Avast Antivirus: Important System Update – requires immediate action(Avast Antivirus: 重要なシステム更新のお知らせ – 緊急対応が必要です)
- AVG Anti-Virus Free Edition: Important System Update – requires immediate action(AVG Anti-Virus Free Edition: 重要なシステム更新のお知らせ – 緊急対応が必要です)
- Avira Desktop: Important System Update – requires immediate action(Avira Desktop: 重要なシステム更新のお知らせ – 緊急対応が必要です)
- Baidu Antivirus: Important System Update – requires immediate action(Baidu Antivirus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
- Cloud Antivirus Firewall: Important System Update – requires immediate action(Cloud Antivirus Firewall: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
- ESET NOD32 Antivirus: Important System Update – requires immediate action(ESET NOD32 Antivirus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
- Kaspersky Anti-Virus: Important System Update – requires immediate action(Kaspersky Anti-Virus: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
- McAfee Personal Firewall: Important System Update – requires immediate action(McAfee Personal Firewall: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
- Norton AntiVirus: Important System Update – requires immediate action(ノートン アンチウイルス: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
- Norton Internet Security: Important System Update – requires immediate action(ノートン インターネットセキュリティ: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
- Norton 360: Important System Update – requires immediate action(ノートン 360: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
- Symantec Endpoint Protection: Important System Update – requires immediate action(Symantec Endpoint Protection: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
- Trend Micro Titanium Internet Security: Important System Update – requires immediate action(Trend Micro Titanium Internet Security: 重要なシステム更新のお知らせ – 緊急に対応が必要です)
件名は異なっていても、添付された zip ファイルに悪質な実行可能ファイルが含まれている点は変わりません。
マルウェアが実行されると、networksecurityx.hopto.org に接続して別のファイルがダウンロードされます。このマルウェアは、ozybe.exe というプロセスを使ってタスクを実行します。
保護対策と基本的なセキュリティ対策(ベストプラクティス)
これらの電子メールや類似の電子メールは、Symantec Email Security.cloud の Skeptic スキャナによって、エンドユーザーに届く前に遮断されます。また、シマンテックは、この攻撃に関連するファイルを以下の定義名で検出します。
ソーシャルエンジニアリングスパムによる攻撃の被害者にならないように、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。
- 電子メールメッセージの中の疑わしいリンクはクリックしない。
- 知らない相手から送信された電子メールの添付ファイルは開かない。
- 電子メールに返信するときに個人情報を記述しない。
- ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
- 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。