21日、アメリカの貨物航空会社 フェデックス株式会社 （FedEx Corporation）からの通知と偽ったウイルス添付スパムメール拡散が確認されています。

　リージョナルトレンドラボでは、一部日本国内にも流通していることを特定しています。

図1. 国内で確認されたFedExを詐称したスパムメール Trend Micro Anti-Spam Engineによってスパムメール判定されたメールの件名には、「Spam:」文字が追加されています。

　確認されたスパムメールは、テキスト文字で構成されたHTML形式のメール。件名「Fedex Tracking N_ ランダムな数字」と記載され、その差出人は個人名。差出人メールアドレスのドメイン名は必ずしもFedEx社を偽装したものではありません。

　その本文には、「住所が正しくないため、荷物が届けられない。添付の請求書を印刷するように」と説明され、添付ファイル（WD6128922.zip）が添えられています。

　「WD6128922.zip」を展開することで得られるのが「WD6128922.exe」実行形式ファイル。もちろんこの実行形式ファイルはウイルス「TROJ_RENOS.AIG」です。

　ウイルス作成者は利用者が本物の請求書であると信用させるため、「WD6128922.exe」に対しMicrosoft Word形式のファイルを示すアイコンに偽装する工作を施しています。

図2. メールに添付されたZIP形式ファイルと同ファイル展開により得られる実行形式ファイル 「WD6128922.exe」のアイコンが実行形式ファイルであるにもかかわらず、Microsoft Word形式のアイコンに偽装されていることが確認できます。

　「TROJ_RENOS.AIG」は発症すると、自身のコピーである「ntos.exe」を「C:WINDOWSsystem32（Windows XPの場合）」フォルダに作成し、作成したファイルがWindows起動時に自動実行されるように以下のレジストリ値を追加します。

　宅配便会社からの通知を偽ったウイルス添付スパムメールは、先月14日にも報告されています。日本国内においても、5月にヤマト運輸株式会社より、ヤマト運輸（クロネコ）を騙るスパムメールについて注意喚起が行われています。

• Trend Micro Security Blog：「宅配便会社からの通知を偽ったウイルス添付スパムメール | スパムマップ配信国ランキング（2008年7月）」
• ヤマト運輸株式会社：「ヤマト運輸（クロネコ）を名乗る迷惑メールについて」（2008年5月8日付け）

　スパムメール送信者は、7月に仕掛けたUPS社（United Parcel Service, Inc）偽装スパムメールの成功率の高さに味を占め、新たな攻撃を仕掛けてきたものと予測されます。

　トレンドマイクロでは、「IPレピュテーション」、「Webレピュテーション」をはじめとする評価技術により、インターネットクラウド側での脅威対策を進めています。もちろん、最新技術による防衛強化も重要ですが、「今後もいかなるメールにおいても、記載のURL、添付ファイルについて安易にクリックすべきではない」とする安全なインターネット利用指針も軽視すべきではないといえそうです。