トレンドラボでは、脅威情報を収集するために世界各国に罠（ハニーポット）を仕掛けています。今回はその罠によって確保されたスパムメールを紹介します。 図1. ハニーポットで確保されたYouTubeスパムメール

　昨今、偽セキュリティソフトがインストールされてしまったとのお問い合わせが日本でも多く確認されています。本日だけでも個人、法人を合わせ、10件以上の感染被害報告がありました。

※この記事には前編：スパムメール経由でのマルウェア拡散情報を公開しております。こちら からご参照ください。 　昨日取り上げたアンジェリーナ・ジョリーやCNNを騙るマルウェアスパムの続報です。これらのスパムメールから複数の不正プログラムが侵入した結果として、「Antivirus XP 2008」という偽セキュリティソフトがインストールされてしまうことがわかりました。入り口のスパムメールは違っても、受ける被害は同じということがわかりました。

　トレンドマイクロでは新種の「一太郎」不正文書ファイル（.jtd）による攻撃を確認しました。詳細は解析中ですが、問題の文書ファイルを一太郎でオープンすると不正プログラムがインストールされます。日本語 Windows XP SP2 ＋ 一太郎2006 の環境でこの攻撃が成功することを確認しています。トレンドマイクロではこの不正一太郎文書ファイル自体を「TROJ_TARODROP.AB」、インストールされる不正プログラムを「BKDR_AGENT.AIAJ」として検出します。 　今年に入ってこのような日本製アプリケーションを狙う攻撃が増えています。特に「一太郎」を標準使用している会社、団体などを狙うターゲット攻撃に使用される可能性がありますのでご注意ください。  ※14日18時30分追加： 　ジャストシステムからこのゼロデイ攻撃で狙われたセキュリティホールを修正するセキュリティ更新モジュールが公開されました。ジャストシステム製品をご使用の場合には早急な導入をお勧めします：<http://www.justsystems.com/jp/info/pd7005.html>。 　

　11月21日、TrendLabs Malware Blog（英語ブログ）にてオンラインゲームアカウントの奪取を狙ったウイルスによる「Webからの脅威」について紹介させていただきました。 TrendLabs Malware Blog : 「World of Warcraft Fan Site Compromised」(2007年11月21日) TrendLabs Malware Blog : 「Bad Image for Gameige」(2007年11月21日) 　国内の主要WEBメディア(* 注釈1)においても、本掲載記事を紹介いただいており、関心の高さを感じます。 　リージョナルトレンドラボでは、この脅威発生までに至る歴史的経緯について分析を行いました。その詳細について紹介させていただきます。

　10月23日、SANS Instituteが運営するインターネットストームセンター Handler's DiaryにAdobe Acrobat / Reader 8.1の脆弱性（CVE-2007-5020）を悪用したPDFファイルがターゲット攻撃として悪用されている情報が公開されました。 　SANS Handler's Diary : PDF mailto exploit documents in the wild 　すでに日本のWebメディアなどにも翻訳記事が紹介されています。 　今回は、これまでの経緯とトレンドマイクロの対応状況について紹介させていただきたいと思います。

　 　Skype用の偽プラグインが不審なサイトや掲示板などを経由して出回っていることが確認できました。その名も「Skype-Defender」。あたかもスカイプをディフェンド（防御）してくれそうな頼もしい名前ですが、実際の動きはその逆です。決して守ってくれません。

本日トレンドマイクロでは未確認の不正な一太郎ドキュメントファイル（.jtd）を入手しました。攻撃内容の詳細は解析中ですが、オープンすると不正プログラムを作成し実行する活動が含まれていることが判明しています。作成される不正プログラムはキーロガー活動と外部サーバのポート443（通常はHTTPS通信）と通信する活動が含まれています。

ニセのセキュリティソフトの被害が増えています。ニセセキュリティソフトとは名前の通り、ウイルス対策製品やシステムユーティリティと偽り、実際にはほとんど有効性のない詐欺的なソフトです。その実体はほとんどの場合、スパイウェアやアドウェアです。特に悪質なものはWeb上でウイルス検出やシステムエラーなどのメッセージを表示し、ユーザを不安にさせてそのソフトの購入を促します。騙されたユーザは結果的にお金を払ってスパイウェアやアドウェアをインストールすることになってしまいます。

最近のウイルスの騙しの手口、5月8日にWindowsセキュリティセンターを偽装した「TSPY_BANKER.IFC」の例をご紹介しましたが（5月8日の記事）、今回は Windows XP のアクティベーションを偽装する「TSPY_KARDPHISH.A」の画面例を紹介します：