???????????????
2 日ほど前から、シマンテックは悪質な脅威の拡散を狙った電子メール攻撃の急増を確認しています。確認されたサンプルはすべて、UPS または Post Express から送られてくる、配送に関する正規の注意メッセージや通知を偽装しています。メッセージの本文では、荷物を受け取るためには詳しい情報や処理が必要であるとして、ZIP 形式で圧縮された実行可能ファイルを開くように求めます。
このスパム攻撃で確認されたヘッダーの例を以下に示します。
差出人: “United Parcel Service” <info***3@ups.com>
差出人: “UPS Customer Services(UPS カスタマーサービス)”<***@secureserver.net>
差出人: “United Parcel Service” <***@dhl.com>
差出人: “Neil Molina” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>
差出人: “Kimberley Miner” United Parcel Service <[詳細は削除済み]@[詳細は削除済み]>
件名: United Parcel Service notification 40983(UPS 通知 40983)
件名: Delivery Status(配送状況)
件名: UPS: Your Package(UPS: 荷物)
件名: United Parcel Service notification(UPS 通知)
件名: United Postal Service Tracking Nr.(UPS 追跡番号)
差出人: “Post Express Support(Post Express サポート)” <postmail-int[詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information(Post Express 情報)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Report(Post Express レポート)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Office(Post Express オフィス)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
差出人: “Post Express Information(Post Express 情報)” <postmail-usa. [詳細は削除済み]@[詳細は削除済み]>
件名: Post Express Office. Package is available for pickup. NR03909(Post Express オフィス: 集荷準備中 NR03909)
件名: Post Express Office. Delivery refuse. NR4245855(Post Express オフィス: 配送拒否 NR4245855)
件名: Post Express Office. Track your parcel. NR06678(Post Express オフィス: 荷物追跡 NR06678)
件名: Post Express Office. Error in the delivery address. NR4061172(Post Express オフィス: 送付先住所の間違い NR4061172)
件名: Post Express Office. Get the parcel NR31215(Post Express オフィス: 荷物 NR31215 をお受け取りください)
受け取ったユーザーが圧縮ファイルを開いて実行すると、以下の脅威がインストールされます。
UPS tracking number.exe(Trojan.FakeAV として検出)
UPS notify.exe(Backdoor.Cycbot として検出)
Post_Express_Label.exe(Trojan.Sasfis として検出)
以下に、スパムの例を 2 つ示します。
シマンテックがこの攻撃を詳しく解析したところ、悪質な電子メールは世界各地から送信されており、それが急増したのは Rustock の活動停止後にスパマーがボットネットを再構築しているためであると判明しました。
上述したようなメールを受信した場合に、不審な添付ファイルを開いたりダウンロードしたりしないという基本的な習慣を守るようにしてください。また、コンピュータやネットワークへの侵入を防ぐために、すべてのセキュリティパッチをインストールし、ウイルス対策定義を常に最新状態に保つことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。