相次ぐニュースねつ造スパムメール、今度はMSNBCを詐称

　14日、アメリカの放送局であるMSNBCを詐称したスパムメールの拡散が確認されています。

　リージョナルトレンドラボでは、一部日本国内にも流通していることを特定しています。

図1. 国内で確認されたMSNBCを詐称したスパムメール Trend Micro Anti-Spam Engineによってスパムメール判定されたメールの件名には、「Spam:」文字が追加されています。

　確認されたスパムメールは、テキスト文字で構成された非常にシンプルなHTML形式のメール。差出人「MSNBC Breaking News」、件名「msnbc.com – BREAKING NEWS:ニュース件名」と記載され、ニュース件名には以下に示した文字列で流通していることを確認しています。

■確認されている挿入されたニュース件名

* 日本語訳はリージョナルトレンドラボにて作成

• Americans loves to sue people（アメリカ人は賠償訴訟好きである）
• Anthrax case solved（炭疽病が解明される）
• Bomb scare grounds thousands of flights at UK Heathrow airport（英ヒースロー空港で多数の爆破予告）
• Europeans dislike Americans attitudes（ヨーロッパ人はアメリカ人の態度に反感を持っている）
• Find out how to get top returns for your money at minimum risk（最小のリスクかつ最大のリターンで稼ぐ方法を見つけ出した）
• Freddie Mac loses $1B（フレディマック（連邦住宅金融抵当金庫）が10億の損失）
• Google launches free music downloads in China（Googleが中国で音楽の無料配信を開始）
• High calorie food banned in canteens（高カロリー食品が食堂で禁止に）
• I will be suing you（あなたを訴えます）
• Mary-Kate Olsen implicated in Heath Ledger’s death（メアリ-ケイト・オルセン、ヒース・レジャーの死に関与）
• Mary-Kate Olsen responsible for Heath Ledger’s death（メアリ-ケイト・オルセンはヒース・レジャーの死に対し責任を負うべきである）
• McCain gives up fighting for presidency（マケイン大統領候補が辞退）
• Microsoft announces takeover bid for Intel, details inside（マイクロソフトがインテルに対し株式公開買いつけを発表。詳細は本文にて）
• Obama set to win presidency（オバマ大統領候補が勝利）
• Oil prices rises due to attacks（攻撃により石油価格が上昇）
• Please give your opinions for change（変化のためにあなたの意見を聞かせてください）
• Preliminary polls for the election（選挙のための事前調査）
• West Nile virus spreading in USA（ウエストナイル熱がアメリカで広まる）
• Wildfires hit Arizona, leave thousands homeless（野火がアリゾナで燃え広がり数千ホームレスが置き去りに）
• You are looking at a lawsuit（あなたは訴訟を注視している）

　スパムメールに記載されているリンクには、正規のMSNBCサイト「http://breakingnews.msnbc.com」のリンクが記載されているものの、クリックの先（そのリンク先）はアメリカの放送局 （CNN：Cable News Network）の偽サイトです。

図2. MSNBC詐称スパムメールによる転送先はCNN偽サイト

図3. MSNBC詐称スパムメールにて誘導されるウイルスファミリアップロードサーバの分布地図

　転送サイトの同一性から、MSNBC詐称スパムメールが今月8日より確認されている、CNN詐称スパムメールの進化形であることが推測できます。

• TrendLabs Malware Blog：「New Trojan Bait: CNN Videos」
• TrendLabs Malware Blog：「More Fake News, More Malicious CNN Spam」
• Trend Micro Security Blog：「アンジェリーナ･ジョリーの動画を偽るマルウェアスパムメール」

　偽サイトを分析すると、難読化されたスクリプト型ウイルス「JS_AGENT.AMQS」の埋め込みが確認できます。

<Script Language=’Javascript’> <!– document.write(unescape(‘%3C%64…{BLOCKED}…%6C%3E‘)); //–> </Script>

図4. CNN偽サイトに埋め込まれた「JS_AGENT.AMQS」の抜粋。 赤文字が難読化された部分の一部。青文字は危険性を回避したマスク処理

　「JS_AGENT.AMQS」の作用は、トロイの木馬である「adobe_flash.exe」（「TROJ_AGENT.KBE」）の自動ダウンロードです。

図5. 自動ダウンロードされる「adobe_flash.exe」（「TROJ_AGENT.KBE」）

　相次ぐニュースねつ造スパムメールは、沈静化する兆候が見られません。

　トレンドマイクロでは、「IPレピュテーション」、「Webレピュテーション」をはじめとする評価技術により、インターネットクラウド側での脅威対策を進めています。また、最新技術による防衛強化ももちろんのこと、「メールに記載されたURLを安易にクリックしない」とする安全なインターネット利用指針も軽視すべきではないといえそうです。