間近に迫った「第30回夏季オリンピック(ロンドンオリンピック)」は、2012年、開催が最も待ち望まれているスポーツイベントといっても過言ではないでしょう。もちろん、サイバー犯罪者も同じです。こうした注目を集めるイベントに便乗するソーシャルエンジニアリングの手口は常とう手段と化しています。「TrendLabs(トレンドラボ)」では、2012年4月3日、同オリンピック観戦旅行パックが当選する抽選に参加できると装った事例を確認しましたが、4月20日再び確認。ただし、前回とは少し手口が異なっていました。従来のオリンピック関連の事例では、観戦チケットが得られるように偽装していますが、今回は、注意喚起を装ったスパムメールとして侵入します。
 |
|
|
今回確認された事例では、上述のとおり、メール本文にロンドンオリンピックのチケットを販売する偽 Webサイトや偽企業について注意を促す内容が記載されていました。このメールには、正規のメールであると見せかけるため、ロンドンオリンピックの公式ロゴが含まれており、また、偽のチケット販売業者のリストとされる Wordファイルが添付されています。ところが、この添付ファイルは、実際には、トレンドマイクロの製品で「TROJ_ARTIEF.ZIGS」として検出される不正なファイルです。この不正プログラムは、「リッチテキスト形式(拡張子RTF)のスタックバッファオーバーフローの脆弱性」である脆弱性「CVE-2010-3333」を利用して、バックドア型不正プログラム「BKDR_CYSXL.A」を作成します。このバックドア型不正プログラムは、ファイルの削除や作成、および侵入したコンピュータのシャットダウンを含む複数の不正活動を実行します。
本ブログで何度も報告しているとおり、今回確認された事例も、トレンドマイクロがこれまでに確認してきた多数のオリンピック関連事例のひとつに過ぎません。弊社は、早くも 2008年10月に、2012年ロンドンオリンピックの抽選の通知を装ったスパムメールを確認しています。2008年の北京オリンピックや FIFAワールドカップのような他のスポーツイベントもまた、こうした手口に悪用されてきました。
トレンドマイクロは、ロンドンオリンピックの開催が迫るにつれ、こうした脅威が急増すると予想しています。そのため、ユーザはメールの添付ファイルのダウンロードやリンクをクリックする前に、慎重さが求められます。サイバー犯罪者は、メールアドレスを正規に見せかける偽装をするため、たとえ信用のおける送信者からのメールでも同様に、メールおよび添付ファイルの開封には細心の注意を払うことが必須となります。
トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によりこの脅威から守られており、今回の脅威に関連するすべての不正プログラムを検出し、削除します。トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のユーザは、フィルタ(1004498:Word RTF File Parsing Stack Buffer Overflow Vulnerability)を適用することにより、脆弱性「CVE-2010-3333」を利用した攻撃からコンピュータを守ることができます。
オリンピック、ワールドカップなど主なスポーツイベントに便乗したこれまでの脅威については、以下の記事をご参照ください。
・スポーツ人気に便乗するサイバー犯罪者たち
http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=
Sports+as+Bait%3a+Cybercriminals+Play+to+Win
参考記事:
by Chloe Ordonia (Anti-spam Research Engineer)
翻訳:太田 真理(Core Technology Marketing, TrendLabs)