米国大統領選挙を悪用するWebからの脅威

2012年10月3日(米国時間)に行われた米国大統領候補者討論会は、多くの人々の注目を集めました。インターネットユーザの間では、バラク・オバマ氏およびミット・ロムニー氏どちらの討論が優勢だったかという議論がいまだに行われています。大統領選挙戦が、11月6日に実施される投票に向けて最後の盛り上がりを迎えようとしていることは明らかであり、最終的にサイバー犯罪者がこの話題に便乗することも疑う余地はありません。

「TrendLabs(トレンドラボ)」のリサーチャーは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」からのフィードバックを監視しています。以下の表は、選挙に関連するキーワードで、これらのキーワードは複数の不正なWebサイトに誘導します。

キーワード ブロックした数
Obama 26,559
Romney 4,519
Elections 806
2012 Elections 358

留意すべきは、上記の表は過去3カ月のみの情報であるということです。トレンドラボでは、投票日に向けて脅威が増加すると予測します。上記の表が表しているのは、両候補者を利用した不正なWebサイトへのアクセスをブロックした数です。一見したところ、不正なWebサイトへのアクセスを試みて失敗したという数では、オバマ氏はユーザおよびサイバー犯罪者からの票を集めているといえます。

これは驚くことではなく、現職の米国大統領は少なくとも4年の任期を務めるため、ロムニー氏と比べて多くの人々に知られているからです。また、オバマ氏が2008年の選挙に勝利し、就任式後すぐに複数のソーシャルエンジニアリングの手口として利用されたということも念頭に置いておく必要があります。3カ月間の各候補者に関連する不正なWebサイトをブロックした数の結果を週毎に示した以下の図を見てみると、オバマ氏はその数が週によって上昇・下降している一方、ロムニー氏は、8月に正式に立候補を宣言した時期に合わせてその数が増加しています。

図1:2012年7月~9月、各候補者に関連する不正なWebサイトをブロックした週毎の数
図1:2012年7月~9月、各候補者に関連する不正なWebサイトをブロックした週毎の数

また、両候補者のキーワードからもたらされる脅威の種類や最終的な被害者は、それぞれわずかな差があります。最も狙われやすいのは、米国およびカナダのユーザであるのは一目瞭然ですが、興味深いのは、アジアおよびヨーロッパ圏の国が上位に含まれている点です。

図2:2012年7月~9月、各候補者に関連する不正なリンクの対象になったユーザの国
図2:2012年7月~9月、各候補者に関連する不正なリンクの対象になったユーザの国

大多数の脅威は、最終的にコンピュータに不正なファイルのダウンロードを行ったり、フィッシングサイトを組み込む「Disease Vector」に分類されるWebサイトやスパム関連からもたらされます。同様の選挙関連の脅威については、過去にも報告しています。

図3:2012年7月~9月、各候補者に関連する不正なリンクのURLの種類
図3:2012年7月~9月、各候補者に関連する不正なリンクのURLの種類

さまざまな不正プログラムも、これら両候補者を利用します。トレンドラボでは、ユーザの好奇心をそそる「酔っ払ったオバマ」という意味のファイル名 “Drunken Obama.exe” や、”Romney V. Obama Tax Policies.pdf” といった税務政策に関連があるかのように装う複数のPDFファイルを確認しています。なお、トレンドマイクロの製品では、前者のEXEファイルは「ADW_MARKETSCORE」、後者のPDFファイルは、ヒューリスティックの検出名「HEUR_PDFEXP.E」として検出されます。また、9月中旬にAndroid OS を搭載した端末(以下、Android端末)向け不正アプリも複数確認しています。この他、トレンドマイクロのフィードバックによると、比較的古くから存在するワーム「SOHANAD」からの感染も確認しています。さらに、リムーバブルドライブを介して感染活動を行い、バックドア活動の機能を備える他の不正プログラム「AUTORUN」や以下の不正プログラムも同様に確認しています。

  • WORM_VOBFUS.SMAC
  • WORM_VOBFUS.RU
  • WORM_MSIL.BR
  • WORM_SILLY.SS

    • ここからわかるのは、サイバー犯罪者は、話題性のあるイベントを悪用することには抜け目がないという事実です。投票日である11月6日にどちらの候補者が勝とうとも、ユーザは、注意しておかなければ何らかの形で被害に遭うことになります。ここで重要なのは、ユーザは、信頼できる情報源からのみ情報を得るようにし、ご使用のコンピュータやモバイル端末にセキュリティ対策製品を導入することです。

    トレンドラボでは、ソーシャルエンジニアリングの手口として、選挙を利用するスパムメールを確認しています。このスパムメールは、米国大手メディア「CNN」を装っており、選挙についての記事を含んでいます。

    CNNを装うスパムメール

    しかし、このスパムメールに含まれるリンクは、ニュースの記事ではなく、情報収集型不正プログラム「ZBOT」に誘導することになります。なお、今回確認された ZBOT は、攻撃ツール「Blackhole Exploit Kit」によりもたらされています。トレンドマイクロの製品では、この亜種を「TSPY_ZBOT.NTW」として検出します。トレンドマイクロでは、不正プログラムの検出・削除に加え、この脅威における Blackhole Exploit Kit に利用される不正なWebサイトもブロックします。

    参考記事:

  • Obama vs. Romney: Political (Online) Threats
     by Paul Oliveria (Technical Communications)

    •  翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 2012年第1四半期のセキュリティ動向を振り返る: キーワードは「モバイル」
    2. 2012年のセキュリティ動向を振り返る:「ポストPC」時代に進化する脅威
    3. 2013年第1四半期のセキュリティ動向:「ソーシャル」、「クラウド」、「非Windows」
    4. 2013年第 2四半期のセキュリティ動向:「サーバ」、「モバイル」、「人」の脆弱性