テキサス肥料工場爆発事故にMIT警官射殺事件、「機敏」に便乗するサイバー犯罪者

「TrendLabs(トレンドラボ)」では、ボストン・マラソン爆破事件に便乗したスパムメール活動を確認して1日も経たぬ間に、前回のスパムメールに非常に類似したスパムメールを確認しました。今回は、ボストンの悲劇的な事件からわずか数日後に発生したテキサス肥料工場爆発事故を悪用していました。

  • ボストン・マラソン同時爆破事件に便乗し、「KELIHOS」ワームの攻撃が発生
      /archives/7100
  • ボストン・マラソン爆破事件、テキサスの爆発事故、悲惨なニュースに便乗する攻撃を続けて確認
      /archives/7110
  • 今回確認したスパムメール活動について懸念すべき点は、前回のスパムメール活動を確認した直後に確認されたことだけではなく、両者とも非常に似ていることです。トレンドラボでは、さらなる解析の結果、スパムメールに記載されている不正なURL は、同一の構造を保持していることが判明しました。また、図1 および図2 から伺えるように、スパムメール自体でさえも酷似しています。

    図1:ボストンマラソン同時爆破事件に便乗したスパムメールの一例
    図1:ボストンマラソン同時爆破事件に便乗したスパムメールの一例

    図2:テキサス肥料工場爆発事故に便乗したスパムメールの一例
    図2:テキサス肥料工場爆発事故に便乗したスパムメールの一例

    両者の唯一の違いは、ドメイン以下のファイル名となります。ボストン・マラソン爆破事件関連のスパムメール活動で利用される URL では “boston.html” が、一方、テキサス肥料工場爆発事故関連のスパムメール活動の URL では “texas.html” が用いられていました。サイバー犯罪者は、単にファイル名を入れ替えることで、これらの悲劇から利益を得ることを企んだかのようでした。問題の不正URL は、もちろん、ユーザの PC を感染することができるエクスプロイトコードを組み込んだページに誘導します。

    また、トレンドラボでは、ボストン郊外のマサチューセッツ工科大学(MIT)で発生した警官射殺事件に便乗する特定の Twitterアカウントを複数、確認しています。これらアカウントから、この事件に関連するキーワードを用いたリンクが拡散されています。こうしたリンクは、不審な評価が付与された、さまざまな Webサイトに誘導。大抵の場合、アドウェアやスパムメール関連の Webサイトの評価がなされています。なお、現時点では、不正プログラムが組み込まれた Webサイトに誘導するリンクをまだ確認していませんが、ユーザは、ソーシャルメディアを用いて情報を収集する場合、慎重になる必要があります。

    図3:さまざまな不審なWebサイトに誘導するつぶやき
    図3:さまざまな不審な Webサイトに誘導するつぶやき

    ボストン・マラソン爆破事件以降、立て続けに、不審なURL を伴うスパムメール活動や Twitterアカウント確認しています。つまり、サイバー犯罪者は、こうした悲劇的な事件でさえもソーシャルエンジニアリングの手口の「ネタ」として見なしているといえるのではないでしょうか。不謹慎かもしれませんが、こうした事件は、サイバー犯罪者にとって「好機」でしかありません。ユーザは、サイバー犯罪者がこうした事件発生を悪用して迅速かつ大胆に利益を得ようとしている犯罪活動に十分注意すべきでしょう。

    ユーザは、サイバー犯罪者が常に次の「ワナ」や「獲物」を狙っていることを念頭におくようにしてください。特に悲劇的な事件が発生した際はなおさらです。そして、悲劇的な事件、ニュース性がある事件が発生した場合、以下の注意点を怠らないようにしてください。

  • 身元不明な送信元から送られた不審なメールを開かない、クリックしない
  • こうした不審なメールに添付されたファイルや記載されたリンクをクリックしない
  • 特定のニュースをご覧になりたい場合、検索エンジンに頼らず、ブックマークしたニュースサイトで直接確認する
  • 参考記事:

  • Cybercriminals Quickly Take Advantage of Texas Fertilizer Plant Blast, MIT
     by Ryan Certeza (Technical Communications)
  •  翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)