10日、マイクロソフト社に実在する社員からのセキュリティ情報の通知と偽り拡散するウイルス添付スパムメールが確認されています。
リージョナルトレンドラボでは、一部日本国内にも流通していることを特定しています。
 |
|
Trend Micro Anti-Spam Engineによってスパムメール判定されたメールの件名には、「Spam:」文字が追加されています。 |
確認されたスパムメールは、テキスト形式のメール。件名に「Security Update for OS Microsoft Windows(マイクロソフトOSのためのセキュリティアップデート)」と記載され、セキュリティ更新プログラムと称されたZIP圧縮ファイル「KB{6桁の半角数字}.zip」が添付されています。ZIP圧縮ファイル中には同名の実行ファイル「KB{6桁の半角数字}.exe」が含まれており、バックドア「BKDR_HAXDOOR.MX」としての危険性があります。
|
・KB246586.zip ・KB535548.zip ・KB572906.zip ・KB199250.zip ・KB763412.zip ・KB827202.zip ・KB705803.zip |
本文には、メールに添付されたファイルが今回確認された脆弱性に対してのセキュリティ更新プログラムであることと、その適用方法が以下のように順序立てて丁寧に説明されています。
|
As your computer is set to receive notifications when new updates are available, you have received this notice. In order to start the update, please follow the step-by-step instruction: |
メール本文の翻訳はリージョナルトレンドラボが実施 |
このように記述された指示に従って添付ファイルを実行すると、バックドア活動が発症します。
こうした同様の詐称メールは従来より頻繁に確認されていますが、注目すべきなのはメール文末の署名と差出人アドレスです。
|
Steve Lipner |
差出人アドレスは「Microsoft High-priority update [customerservice@microsoft.com]」に偽装されています。
上の署名にあるスティーブ・リプナー氏とは実際にマイクロソフトに実在しているセキュリティ担当者であり、この点が今回のメールの信憑性をより高めている部分かつ注意すべき重要なポイントとなります。
また、本文末にはPGPによる署名情報も記載されていることから、メールの信憑性をより高めようとする作成者の意図が見受けられます。
メールの差出人や送り主を偽造することはスパムメールの常套手段として知られていますが、今回のように特定の層に名が通り信頼されている送り主に詐称することで、その送り主をよく知っていれば知っているほどうっかり開いてしまう可能性があります。
スティーブ・リプナー氏の名を知っているほど注目しがちである点や、脆弱性に対するセキュリティパッチの通知である内容から、一般ユーザ層のみならずセキュリティ意識がある程度高い層のユーザにまで感染対象が拡がる可能性も伺えます。
今回の問題を受けてマイクロソフトが添付ファイル付メールの送信は決して行わないと強調していることから今後マイクロソフトからのセキュリティ更新プログラムを称した添付ファイル付メールを受信しても決して実行しないことが重要です。
セキュリティに関わる更新は公式サイトに直接訪れて確認し、OS関連であればWindows Updateなどを利用するように普段から心がけることも大切です。
社会的な信用および不安に付け込む手法をソーシャルエンジニアリングと一般に呼びますが、こうした手法を利用して送られてくるメールは知識のあるなしに関わらず文面のみでは判断しきれないため、まずは疑いの目でかかり、さらにメール送信の有無が確証出来るもの以外は基本的に開かないようにしましょう。
■関連情報
* 参考情報1. Microsoft「ソフトウェアの配布に関するマイクロソフトの方針」