震災に便乗したFacebook経由の不正プログラムなど続々と出現

東北地方太平洋沖地震に関連した攻撃は、そのニュースが世界的にも注目されていることから、継続して発生しています。Facebook の悪用や偽YouTube など、今回は「TrendLabs(トレンドラボ)」で確認した震災関連の攻撃を紹介します。


■原発に関連する文書を装って侵入する「TROJ_MDROP.EV」
メールの添付ファイルで感染させるという手法はすでに使い古された感があるものの、今もなお継続して行われているということは、それだけファイルを開いてしまうユーザが多いという事実と表裏一体であると言えるでしょう。

「word.doc」というファイル名で添付されメールで送られてくる「TROJ_MDROP.EV」は、ファイルを開封すると図1のような福島第一原発に関連した英文が表示されます。

図1:添付ファイルに含まれる文章
図1:添付ファイルに含まれる文章

その背後では、ユーザの PC内で使用されているソフトウェアの脆弱性を悪用し、「BKDR_LAPUK.D」を作成し、外部の攻撃者が遠隔操作できるようにします。結果的にユーザの PC からファイルを盗まれたり、勝手に削除されてしまうなどの被害が起きる可能性があるのです。

■Facebook経由で動画サイトへ誘導! ユーザの個人情報を狙う「HTML_FAKETUBE.A」
今回の震災では情報交換のプラットフォームとして「Twitter」とともに注目された「Facebook」ですが、不正プログラムの感染経路としても悪用されてしまっています。

「Facebook」のウォールに投稿されたスパムメッセージ内の URL をクリックすると、図2 のような「YouTube」の偽ページへ誘導されます。

図2:Facebookから誘導される偽YouTubeのページ
図2:Facebookから誘導される偽YouTubeのページ

表示された動画には、「GRAPHIC VIDEO.. Japans Tsunami Sends WHALE Smashing Into A Building!」というタイトルが付けられています。ユーザがこの動画を見ようとクリックすると、ユーザに調査への回答を要求する画面を表示します(図3参照)。なお、トレンドマイクロでは、この問題の動画を「HTML_FAKETUBE.A」として検出します。

そしてこの調査画面をクリックすると、携帯電話番号を要求する Webページ(図4参照)へ誘導されます。

図3:調査への回答を要求する画面
図3:調査への回答を要求する画面

図4:携帯電話番号の入力を要求する画面
図4:携帯電話番号の入力を要求する画面

こうしてユーザの携帯電話の番号を不正に入手することに加え、図5 のようなウィンドウを表示し、ユーザに対し Facebook のアカウント情報の入力を要求するのです。

ここで入手されたアカウント情報により、外部からアカウントを操作され、Facebook内のスパムメッセージに対して「Like(いいね!)」ボタンがクリックされたり、ユーザのコンタクト先のウォールに不正な URL を投稿したりする可能性があります。

図5:Facebookのアカウント情報の入力を要求する画面
図5:Facebookのアカウント情報の入力を要求する画面

■Google Earthの関係者を装って送付されるスパムメール
最後に、震災に関連したスパムメールをご紹介します。以前このブログで、「The United Nations Children’s Fund(UNICEF)」を装って義援金と個人情報を詐取しようとするスパムメールを紹介しましたが、トレンドラボではこのように今回の震災に関連したキーワードを用いた事例を複数確認しています。

図6 は Google Earth のユーザを標的にしたものと推測される英文のメールです。

「Japan’s nuclear meltdown imminent(日本の原発の炉心溶融が今にも起ころうとしている)」などとのショッキングな件名と文章でユーザの興味・関心を惹きつけ、メール内に埋め込まれたリンクへ誘導しようとします。このリンクをクリックすると、「Google Earth」の新バージョンへの登録を促され、費用の振込みを要求されます。この新バージョンを購入しないと新たな画像を確認できない、などとしてユーザの不安を煽るソーシャルエンジニアリングの手口といえます。

図6:Google Earthからの通知を装って送付されるメール
図6:Google Earthからの通知を装って送付されるメール

■対策:まずは落ち着き、安易なクリックをしないこと
ここまでご紹介した通り、災害直後に発生する攻撃は過去の事例からも言えることですが、ユーザの興味・関心を惹きつけたり、心理的な隙を悪用しようとする手口が多く、冷静になって対処すれば多くの被害を防ぐことができます。

また、インターネット上には多くの情報がありますが、多すぎるがゆえにどれが正しいものか判断がつかなくなってしまうという状況も懸念されます。

たびたびの注意喚起になりますが、不審なメールや Webサイトに接したときには、

  • 安易にクリック(開封)しない
  • メールの送信元や Webサイトの URL を確認し、正規のものでないと思われた場合は保留する

といった心がけをいつも以上に徹底するよう、ご留意ください。