トレンドラボでは、脅威情報を収集するために世界各国に罠(ハニーポット)を仕掛けています。今回はその罠によって確保されたスパムメールを紹介します。
 |
|
|
確認されたスパムメールは、HTML形式のメール。ポルトガル語で記載されたそのメールには、メール受信者の動画が動画共有サイト(YouTube)に投稿されていることがURLとともに紹介されています。
|
Olá, Atenção! Fizeram uma divulgação em video de sua pessoa, em que seu nome foi mensionado em varios Para denunciar, Clique Aqui! Veja o video em que consta sua presença : (http://www.youtube.com/watch?v=Y6BS8926mVgI)
Atenciosamente, Equipe YouTube |
メールに記載されたURLとリンク先は一致しておらず、URLをクリックするとウイルス「TROJ_BANLOAD.JC」のダウンロードを導く不正サイトへ誘導されます。
今回、我々が注目したのは「TROJ_BANLOAD.JC」がアップロードされている不正サイトのホスティング先です。そのトップレベルドメイン(TLD)、IPアドレスを分析した結果、日本国内に設置されたサーバであることを特定しています。また、「TROJ_BANLOAD.JC」は発症することにより、次のウェブサイトへ接続が行われ、複数のウイルスがダウンロードされます。
|
http://www.{BLOCKED}hikagu.co.jp/zshop_hal_proA7_7/images/.dc/auxgbfuck – ウイルス名:TROJ_BEEL.D |
これら不正サイトは、既に悪意あるページとしてのレーティングを終えています。このため、「Webレピュテーション」対応製品を利用することにより、その接続を拒否する機能を提供しています。
 |
| 図4. 「Trend プロテクト」により、接続がブロックされているウイルスアップロードサイト。「Webレピュテーション」を使用すると、危険なWebサイトへのアクセスをブロックできます。ユーザがWebサイトへの接続する際、まずの評価サーバにWebサイトの評価値を問い合わせます。 |
これまで、ウイルスのホスティング先としてはアメリカ、ロシア、中国などが多く報告されています。この状況に大きな変化は見られないものの、これまで危険性がクローズアップされていなかった国においてもウイルスのホスティングが確認されているケースがあります。
日本もその例外ではありません。
ウェブサイト管理者の方は、直ちにウェブサーバのアクセスログを調査し、不正な接続や見知らぬファイルのアップロード事実が無いか確認することを強く推奨します。