16日、クレジットカード会社のビザ・インターナショナル(VISA)、マスターカード(MasterCard)のマネージャからの通知と偽ったウイルス添付スパムメール拡散が確認されています。
リージョナルトレンドラボでは、一部日本国内にも流通していることを特定しています。
 |
|
Trend Micro Anti-Spam Engineによってスパムメール判定されたメールの件名には、「Spam:」文字が追加されています。 |
確認されたスパムメールは、テキスト形式のメール。件名「Credit card account statement (Visa, MC):クレジットカード請求書」と記載され、差出人、宛先ともに特定の個人名が記載されています。
その本文には、「要求に基づいて送付された請求書であること。詳細については添付ファイル(Statemen.zip)を確認するように」と記載されています。また、フッタ部には「メッセージの送付先誤りである場合、IDとともに顧客サービス部門まで連絡をください」との記載も確認できます。
「Statemen.zip」を展開することで得られるのが「Statement.doc<大量の空白文字>.exe」実行形式ファイル。もちろんこの実行形式ファイルはウイルス「WORM_AUTORUN.RC」です。
「WORM_AUTORUN.RC」には、2つの偽装工作が見受けられます。
- 実行ファイルのアイコンをMicrosoft Wordを示すアイコンに変更されていること。
- ファイルの拡張子をWord形式文書をまねて「.DOC」と入力するとともに、実際の拡張子「.EXE」との間に85文字分の半角空白を挿入されていること(この偽装工作により、実際の拡張子は画面からはみ出し、拡張子の確認が困難となります)。
いずれの偽装工作も利用者を信頼させ、「WORM_AUTORUN.RC」を実際のWord形式文書であるように思いこませた上で実行するように仕向けたものと推測されます。
 |
|
|
「WORM_AUTORUN.RC」は、そのファミリ名が示すとおり、通称USBメモリウイルス(外部メディアをPCに接続した際に自動実行機能を悪用して、PCに感染を広げるウイルス)に分類されるものです。
「WORM_AUTORUN.RC」である「Statement.doc<大量の空白文字>.exe」を実行した場合、「Statement.doc<大量の空白文字>.exe」は実行とともに削除され、「dri{BLOCKED}.ru」への接続が試みられます。
ただし、17日 7:00現在、接続先は接続不能状態です。このため、大量のDNSクエリ失敗から感染状態を検出できる場合があります。
これまでの傾向として、カード会社からの通知を偽ったスパムメールの代表例としては、個人情報の詐取を狙ったフィッシング詐欺であることが挙げられます。今回のように、ウイルス拡散のための題材として悪用されるケースについても知る必要性があるといえそうです。
ウイルス拡散の題材として悪用されているのはカード会社だけではありません。2008年8、9月報告のケースだけでも次の事例が挙げられます。
- 「宅配便会社(件名:UPS: Paket Nランダムな数字、Fedex Tracking N_ ランダムな数字)」
- 「航空会社(件名:Your Online Flight Ticket N ランダムな数字)」
- 「宿泊施設(件名:Statement of fees 西暦/月)」
- 「インターネットサービスプロバイダ(件名:Your internet access is going to get suspended)」
トレンドマイクロでは、「IPレピュテーション」、「Webレピュテーション」をはじめとする評価技術により、インターネットクラウド側での脅威対策を進めています。もちろん、最新技術による防衛強化も重要ですが、引き続き「いかなるメールにおいても、記載のURL、添付ファイルについて安易にクリックすべきではない」とする安全なインターネット利用指針も軽視すべきではないといえそうです。