サイバー犯罪者、新ローマ法王をスパムメールで祝福

2013年3月中旬、新ローマ法王を選出するコンクラーベ、そしてその就任式典が開催され、多くの報道機関の注目しました。サイバー犯罪者がユーザを陥れるためにこのイベントに便乗してことは驚くに値しないでしょう。「TrendLabs(トレンドラボ)」は、今週初め、新法王フランシスコを話題として利用するスパムメールを確認しました。

これらのスパムメールのメッセージは、新法王やカトリック教会をめぐる議論を利用し、受信者の好奇心をあおります。これらのスパムメールは、このメールが本物であるとユーザに思い込ませるために、米国大手メディア「CNN」から送信されたように装っていました。以下が、問題のスパムメールです。

図1:「CNN」を装うスパムメールの例
図1:「CNN」を装うスパムメールの例

話題は新法王フランシスコのはずですが、以下のスパムメールでは、新法王として前任の法王名である「ベネディクト」と称しています。

図2:前法王名が記載されたスパムメール
図2:前法王名が記載されたスパムメール

メールに埋め込まれているリンクは、「Blackhole Exploit Kit(BHEK)」によって改ざんされた Webサイトへユーザを誘導します。BHEK は、以下を含む多岐に渡る不正プログラムをもたらすために利用されていました。

  • 情報収集型不正プログラム
  • バックドア型不正プログラム
  • 「Remote Access Tool(RAT)」
  • ルートキット型不正プログラム
  • トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」は、本事例に関連するすべてのスパムメールおよび Webサイトを検出し、ブロックします。

    なお、今回のスパムメールに関連する不正プログラムですが、トレンドラボでは、最終的に、脆弱性「CVE-2009-0927」を利用する不正活動を行う不正プログラム(「TROJ_PIDIEF.SMXY」として検出)が実行されることを確認しています。この「CVE-2009-0927」は、”Adobe Reader” および “Acrobat” に存在し、2009年に確認された脆弱性です。そのためユーザは、ユーザは、コンピュータを必ず更新し、最新のソフトウェアにしてください。

    カトリック信者であるかどうかにかかわらず、「ベネディクト法王の退位と新法王の就任」というニュースは、すべての人の興味を引き付けます。そしてこの出来事は、サイバー犯罪者や不正活動を企てる人物たちにとって好奇心の強いユーザを惑わせるには、まさに絶好の機会となります。2月末、話題の「Google Project Glass」の人気に乗じた事例が確認されましたが、サイバー犯罪者たちが、このような特定の流行やニュース、イベントに便乗することは、常とう手段となっています。

    しかしユーザは、このような脅威に対し防御手段がないわけではありません。ソーシャルエンジニアリングの手口には、人を信じ込ませる力がありますが、この手口がどのように機能するのかを理解することで、自身のインターネット活動をこのような策略から防ぐことができます。

    参考記事:

  • Spammers Bless New Pope with Spam
     by Abigail Pichel (Technical Communications)
  •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)