Internet Explorer 7.0のアップデートを偽ったスパムメール

 先週末より、差出人「admin@microsoft.com」、件名「Internet Explorer 7」とするInternet Explorer 7のアップデートを偽ったスパムメールの拡散が確認されています。

 リージョナルトレンドラボでは、一部日本国内にも流通していることを特定しています。

 確認されたスパムメールは、HTML形式にて記載されたもの。その本文には大きく「Download the latest version!」と外部サイトのリンクが記載されており、同リンクをクリックした場合、トロイの木馬「TROJ_RENOS」ファミリがダウンロードされます。

図1. 国内で確認されたInternet Explorer 7.0のアップデートを偽ったスパムメール
図1. 国内で確認されたInternet Explorer 7.0のアップデートを偽ったスパムメール
Trend Micro Anti-Spam Engineによってスパムメール判定されたメールの件名には、「Spam:」文字が追加されています。

 同スパムメールでは、「MSN Featured Offers」加入者に対し送信されたメールであることを説明することで信頼性を高める工夫が施されています。

 その他本文には、情報の停止先(Unsubscribe)、追加情報の入手先(More Newsletters)、プライバシー情報(Privacy)の外部サイトリンクが記載されています。これらリンク先は正規の「http://www.msn.com」へ転送され、先のトロイの木馬のダウンロード先とは異なる設定がされています。こういった点も信頼性を高める工夫であると推測されます。

 スパムメールは、今後トロイの木馬侵入確率を高めるため、様々な工夫を施してくる可能性が推測されます。「Download the latest version!」リンク先、すなわちトロイの木馬設置URLを変更することはその工夫の一つです。

 2008年8月12日 8:30現在、100を超えるドメインに設置されていることが報告されています。以下はその一例です。異なるドメインにおいて、同一パス名にトロイの木馬が設置されているケースが見られます。このことから、ツールによってトロイの木馬が一括設置されている可能性が推測されます。

  • http://{BLOCKED}.com/index_file/update.exeTROJ_RENOS.ADX
  • http://{BLOCKED}.es/ALPUJARRA/album/ie7.0.exeTROJ_SMALL.EBN
  • http://{BLOCKED}.com/amv/ie7.0.exe
  • http://{BLOCKED}.br/aspnet_client/system_web/ie7.0.exe
  • http://{BLOCKED}.de/DE44424232V2/images/ie7.0.exe
  • http://{BLOCKED}.com/Flash/ie7.0.exe
  • http://{BLOCKED}.es/fotografias/ie7.0.exe
  • http://{BLOCKED}.com/gpsoft/media/ie7.0.exe
  • http://{BLOCKED}.de/html/ie7.0.exe
  • http://{BLOCKED}.de/html/images/ie7.0.exe
  • http://{BLOCKED}.es/IE/ie7.0.exe
  • http://{BLOCKED}.com/image/ie7.0.exe
  • http://{BLOCKED}.es/imagenes/_notes/ie7.0.exe
  • http://{BLOCKED}.hr/images/ie7.0.exe
  • http://{BLOCKED}.de/images/static/ie7.0.exe
  • http://{BLOCKED}.net/imatges/ie7.0.exe
  • http://{BLOCKED}.tr/img/ie7.0.exe
  • http://{BLOCKED}.org/IMG/IMG/ie7.0.exe
  • http://{BLOCKED}.com/infos/ie7.0.exe
  • http://{BLOCKED}.pl/inne/ie7.0.exe
  • http://{BLOCKED}.ar/new_img/ie7.0.exe
  • http://{BLOCKED}.gr/picture_library/ie7.0.exe
  • http://{BLOCKED}.com/razmisli/images/ie7.0.exe
  • http://{BLOCKED}.com/wwlho20040604/formularis/ie7.0.exe

  • http://{BLOCKED}.com/Banners/Noticias/explorer-7.0.exe
  • http://{BLOCKED}.it/camere/explorer-7.0.exe
  • http://{BLOCKED}.edu.sk/document/explorer-7.0.exe
  • http://{BLOCKED}.de/explorer-7.0.exe
  • http://{BLOCKED}.17/FPINTERIORS/admin/images/explorer-7.0.exe
  • http://{BLOCKED}.de/gal047858238/explorer-7.0.exe
  • http://{BLOCKED}.ar/image/explorer-7.0.exe
  • http://{BLOCKED}.net/imagen/explorer-7.0.exe
  • http://{BLOCKED}.eu/imagenes/explorer-7.0.exe
  • http://{BLOCKED}.com/images/dove/explorer-7.0.exe
  • http://{BLOCKED}.99/images/explorer-7.0.exe
  • http://{BLOCKED}.ua/images/M_images/explorer-7.0.exe
  • http://{BLOCKED}.de/images/Skiclubfest%25202003/explorer-7.0.exe
  • http://{BLOCKED}.net/images/smilies/explorer-7.0.exe
  • http://{BLOCKED}.de/images/Sonstiges/explorer-7.0.exe
  • http://{BLOCKED}.com/img/common/explorer-7.0.exe
  • http://{BLOCKED}.br/img/explorer-7.0.exe
  • http://{BLOCKED}.it/immagini/explorer-7.0.exe
  • http://{BLOCKED}.pl/ja/explorer-7.0.exe
  • http://{BLOCKED}.de/local/images/explorer-7.0.exe
  • http://{BLOCKED}.ar/new_img/explorer-7.0.exe
  • http://{BLOCKED}.de/Nico/explorer-7.0.exe
  • http://{BLOCKED}.it/photogallery/photo8348/explorer-7.0.exe
  • http://{BLOCKED}.gr/picture_library/ie7.0.exe
  • http://{BLOCKED}.pl/pliki/explorer-7.0.exe
  • http://{BLOCKED}.pl/prasa/explorer-7.0.exe
  • http://{BLOCKED}.pl/Robert/explorer-7.0.exe
  • http://{BLOCKED}.net/stefano/explorer-7.0.exe
  • http://{BLOCKED}.eu/test_file/explorer-7.0.exe
  • http://{BLOCKED}.sk/zdruzenacik/explorer-7.0.exe

 これら不正サイトへの接続は、トレンドマイクロの「Webレピュテーション」機能を利用することで切断することが可能です。

 今回に限らず、Microsoftからのアップデートプログラムに偽装したスパムメールを配信する手口は、数多く報告されています。

 いずれの手口においてもいえる、有効な対抗策があります。

  • メールに記載された内容を鵜呑みにするのではなく、利用者自らメーカーサイトへ訪れ情報を確認すること。
  • サイト訪問の際、メールに記載されたURLをクリックするのではなく、URLを直接入力して確認すること。

 このような心構えを持ち、最新技術やセキュリティ機能が強化されたソフトウェアアップデートを入手し、利用することが求められているのではないでしょうか。