税金還付を装ったスパムメールは、脅威の全体像においては既に常とう化された手段であり、特に米国内で頻繁に確認されています。しかし、2013年7月下旬に確認された英国の納税者を対象としたスパムメールは、この脅威は地域が限定されたものではないということを物語っています。これらのスパムメールは、税金の還付期限に便乗して送られており、「TSPY_FAREIT」と検出されるファイルが添付されていました。この不正プログラムのファミリは、オンラインバンキングの Webサイトに関連する情報を収集することで悪名高い情報収集型不正プログラム「ZBOT」の亜種をダウンロードします。
「TrendLabs(トレンドラボ)」は、英国の歳入税関庁から送られたように装った Eメールを確認しました。問題の Eメールは、ユーザにVAT(付加価値税)還付の受け取りに関する内容を通知します。付加価値税の還付および納付の期限が2013年8月7日であったこともあり、この Eメールは、無防備なユーザにとって時宜にかなったものに思えたかもしれません。さらにユーザに自身の妥当性を信用させるため、そのメッセージ内には、この Eメールが「ウイルスチェック済」である旨が書かれています。
 |
|
|
その Eメールには、付加価値税還付の受け取りに関連すると思われるファイルが添付されています。しかしトレンドラボの調査の結果、予想通りその添付ファイルは、「TSPY_FAREIT.ADI」として検出された不正プログラムでした。この不正プログラムが実行されると、コンピュータから FTPクライアントやファイルマネージャー、Eメールに関連するさまざまな情報を収集します。さらにこの不正プログラムは、下記のブラウザに保存されている情報を収集します。
「TSPY_FAREIT」を発端とする情報収集はこれだけで終わりません。「TSPY_FAREIT.ADI」は、「TSPY_ZBOT.ADD」と検出される他の不正プログラムをダウンロードします。他の「ZBOT」の亜種と同様にこの不正プログラムは、ランダムに生成された IPアドレスから環境設定ファイルをダウンロードします。さらにこの環境設定ファイルには、対象とするオンラインバンキングおよび金融機関の Webサイトのリストと、そのプログラムが収集した情報の送り先である複数のURLが記載されています。
この脅威の背後に存在するサイバー犯罪者は、明らかに英国での付加価値税還付の期限を悪用しています。しかし、ここでの実際的な問題は、情報が収集されることの重大性です。犯罪者は、アンダーグラウンド市場で価値のある Eメールや FTPの認証情報だけでなく、ユーザのオンラインバンキングのアカウントをも狙っています。犯罪者は、一度ユーザのオンラインバンキングや金融機関の認証情報を手に入れると、アンダーグラウンド市場で売りさばくか、実際の金銭的損失につながる不正な送金をするために利用するのです。
弊社の「2013年第 2四半期セキュリティラウンドアップ」の中で、この四半期におけるオンラインバンキング関連の不正プログラムの増加と、「CARBERP」の「漏えい」したソースコードがこの脅威に与える今後の影響について記述しました。従って、受け取った Eメールを再度確認すること、そして安全性が証明されていない送信元からの添付ファイルを開く際には慎重になることがユーザにとって重要となります。さらなる予防措置として、常にベンダからの最新のセキュリティアップデートを実装して下さい。
ソーシャルエンジニアリングの罠を利用した脅威の回避方法に関する詳しい情報は、弊社のデジタル・ライフ・ガイド「How Social Engineering Works(英語情報)」をご参照下さい。トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
※協力執筆者:Anthony Joe Melgarejo(Threat Response Engineer)
参考記事:
by Gelo Abendan (Technical Communications)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)