G Data Software株式会社(本社:東京都千代田区、代表取締役社長:Jag 山本)は、年末に向けて、スパムメールを媒介にしたマルウェア感染による個人情報の窃取が増加のおそれがあるので、十分な対策をとるよう、注意を呼びかけます。特に欧州では、金融機関からのメールに見せかけログイン情報を巧妙に盗み出す「ZeuS」を利用した「バンキングスパム」が流行しており、危険度が増しています。
リンクURLを文中に含むスパムメールは、特に、金融機関から送られてきたかのように見せかけるものが、多数登場してきました。そのなかで先日、G Dataセキュリティラボは、非常に嫌なスパムメールを発見しました。多数種類があり、件名が変わっているのです。送りつけられている地域と連動しているかのようです。一例として、ポーランドで発見されたメールをみてみましょう。
ポーランドのコンピューターユーザーに送られたメール(注:英文を翻訳)の本文:
親愛なるアカウントオーナー様
あなたさまが依頼されましたファンドの送金が、イースト・ヒポテッケン銀行において受理されませんでした。
送金ID: 1705043791
現在の処理状況: 保留
できるだけ早く処理状況の詳細をご確認ください(リンクURL)。
R・M・アトキンソン
アカウンティング・マネジメント
エッセ・ヒポテッケン銀行
(以上、メールの本文)
バンキングスパムを識別する3つのヒント
メールの送り主である金融機関の名前に聞き覚えがなければ、こういったメールを読む必要はまったくありません。いえ、読むべきではないでしょう。ただし、もしもかかわりがある場合は、以下のことを確認してみてください。
(1)送り主アドレスの確認
第一に、差出人のアドレスが偽造されていないかどうか、チェックしましょう。明らかに銀行名とは異なるものは論外ですが、つづりが1ヶ所だけ異なるものなどもありますので、しっかりと確認すべきです。
(2)宛先の確認
第二に、本文中に書かれている宛先をみましょう。銀行や公的制度の場合、私的な文書ではないので、宛名に「親愛なるアカウントオーナー様」というようなメールは送らないでしょう。
(3)取引番号の確認
第三に、取引番号を確認しましょう。トランザクションIDにはランダムに適当な数字が入っています。万が一自分がその銀行の顧客で、オンラインバンキングを使用した記憶がある場合、過去のメールやサイトの履歴などで、番号が一致しているかどうかを見直しましょう。
ZeuSを使ったマルウェア攻撃も複層化
このような仕掛けが、子どもだましにすぎないことは、送り主も重々承知しています。大事なのは、文面に含まれているリンク先なのです。文面をみて怪しいと思っても、確認の意味も含めて、つい、本文中にあるリンクURLをクリックしてしまうかもしれません。
このリンクをクリックすると、あるサイトが開き、Adobeのフラッシュプレイヤーの最新版をダウンロードするよう、メッセージが現れます。もちろん、この最新版は偽物ですが、ここで「YES」を選択してしまうと、ZeuSタイプのマルウェア(G Dataは「Variant.Kazy.44360」として検知)がダウンロードされます。しかし、攻撃はこれで終わりではありません。
このアップデートの要求が偽物であることを理解し、かつ、もっともらしい助言に従わないとしても、このリンク先のサイトはきわめて危険です。JavaScriptを難読化して見えにくくしてしまうphpファイルを含んでいるのです。
このJavaScriptは、ユーザーに気づかれずにマルウェアを侵入させるアプレットを実行します。そして、CVE-2010-0840という脆弱性を攻撃することによりユーザーのコンピューターを感染させようとします。本当は、この脆弱性はすでに解消されており、きちんとアップデートをしていればまったく問題ないのですが、実際のところ放置しているユーザーが多く、攻撃者はこのことを知っているため、未だにこの古い脆弱性を使用しているのです(これについてはG Dataでは、プレスリリースで以前に報告したことがあります)。
脆弱性への攻撃が行われた場合、アプレットはユーザーのコンピューターにさらに別のデータ(この場合は.dll)をダウンロードします。これは、正真正銘のマルウェアであり、さらにZeuSを使ってコンピューターを感染させようとします。
つまり、攻撃者はハイブリッドな攻撃を用意していたのです。必要そうに見えるソフトウェア・アップデートを提示してソーシャルエンジニアリングによって訪問者を感染させようとし、さらに、ドライブバイダウンロードで感染を実行させようという技術手段をも使用していたのです。複層攻撃なのです。
私たちが発見したいくつかのURLは、このドライブバイダウンロードだけを使っていましたが、それだけでも危険なのです。
バンキングスパムへの対応
以下の三点について、特に注意しましょう。
(1)不要メールは潔くゴミ箱へ
利用したことがない組織やサービスからメールを受け取った場合、メールの本文を無視し、削除すべきでしょう。いかなる場合であっても、添付ファイルを開けたり、URLをクリックするべきではありません。
(2)個人情報の入力には細心の注意を
メールやサイトを通じて、個人情報や口座番号、パスワードなどを入力する際には、サイトのURのチェックなどを行い、くれぐれも注意しましょう。
(3)リンクURLをクリックしない
オンラインバンキングなどのURLは、メールに書かれているURLをクリックせずに、手入力で打ち込むか、ブラウザのお気に入りに登録するなどして、そこからアクセスしましょう。
ホワイトペーパー「スパムメール総論」
スパムメール全般に関して、さらに詳細な情報は、ホワイトペーパー「スパムメール総論」を用意しましたので、下記URLをご覧ください(このURLが怪しいと思った場合は、検索で「G Data」「スパムメール」「ホワイトペーパー」を入力し、探してください)。
URL: http://bit.ly/twNuQH
ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。2011年にはアンドロイド端末向けのセキュリティアプリも発売しました。
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
【本リリースに関する問合せ先】
G Data Software株式会社
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人
E-mail:
URL: http://www.gdata.co.jp/
リンクURLを文中に含むスパムメールは、特に、金融機関から送られてきたかのように見せかけるものが、多数登場してきました。そのなかで先日、G Dataセキュリティラボは、非常に嫌なスパムメールを発見しました。多数種類があり、件名が変わっているのです。送りつけられている地域と連動しているかのようです。一例として、ポーランドで発見されたメールをみてみましょう。
ポーランドのコンピューターユーザーに送られたメール(注:英文を翻訳)の本文:
親愛なるアカウントオーナー様
あなたさまが依頼されましたファンドの送金が、イースト・ヒポテッケン銀行において受理されませんでした。
送金ID: 1705043791
現在の処理状況: 保留
できるだけ早く処理状況の詳細をご確認ください(リンクURL)。
R・M・アトキンソン
アカウンティング・マネジメント
エッセ・ヒポテッケン銀行
(以上、メールの本文)
バンキングスパムを識別する3つのヒント
メールの送り主である金融機関の名前に聞き覚えがなければ、こういったメールを読む必要はまったくありません。いえ、読むべきではないでしょう。ただし、もしもかかわりがある場合は、以下のことを確認してみてください。
(1)送り主アドレスの確認
第一に、差出人のアドレスが偽造されていないかどうか、チェックしましょう。明らかに銀行名とは異なるものは論外ですが、つづりが1ヶ所だけ異なるものなどもありますので、しっかりと確認すべきです。
(2)宛先の確認
第二に、本文中に書かれている宛先をみましょう。銀行や公的制度の場合、私的な文書ではないので、宛名に「親愛なるアカウントオーナー様」というようなメールは送らないでしょう。
(3)取引番号の確認
第三に、取引番号を確認しましょう。トランザクションIDにはランダムに適当な数字が入っています。万が一自分がその銀行の顧客で、オンラインバンキングを使用した記憶がある場合、過去のメールやサイトの履歴などで、番号が一致しているかどうかを見直しましょう。
ZeuSを使ったマルウェア攻撃も複層化
このような仕掛けが、子どもだましにすぎないことは、送り主も重々承知しています。大事なのは、文面に含まれているリンク先なのです。文面をみて怪しいと思っても、確認の意味も含めて、つい、本文中にあるリンクURLをクリックしてしまうかもしれません。
このリンクをクリックすると、あるサイトが開き、Adobeのフラッシュプレイヤーの最新版をダウンロードするよう、メッセージが現れます。もちろん、この最新版は偽物ですが、ここで「YES」を選択してしまうと、ZeuSタイプのマルウェア(G Dataは「Variant.Kazy.44360」として検知)がダウンロードされます。しかし、攻撃はこれで終わりではありません。
このアップデートの要求が偽物であることを理解し、かつ、もっともらしい助言に従わないとしても、このリンク先のサイトはきわめて危険です。JavaScriptを難読化して見えにくくしてしまうphpファイルを含んでいるのです。
このJavaScriptは、ユーザーに気づかれずにマルウェアを侵入させるアプレットを実行します。そして、CVE-2010-0840という脆弱性を攻撃することによりユーザーのコンピューターを感染させようとします。本当は、この脆弱性はすでに解消されており、きちんとアップデートをしていればまったく問題ないのですが、実際のところ放置しているユーザーが多く、攻撃者はこのことを知っているため、未だにこの古い脆弱性を使用しているのです(これについてはG Dataでは、プレスリリースで以前に報告したことがあります)。
脆弱性への攻撃が行われた場合、アプレットはユーザーのコンピューターにさらに別のデータ(この場合は.dll)をダウンロードします。これは、正真正銘のマルウェアであり、さらにZeuSを使ってコンピューターを感染させようとします。
つまり、攻撃者はハイブリッドな攻撃を用意していたのです。必要そうに見えるソフトウェア・アップデートを提示してソーシャルエンジニアリングによって訪問者を感染させようとし、さらに、ドライブバイダウンロードで感染を実行させようという技術手段をも使用していたのです。複層攻撃なのです。
私たちが発見したいくつかのURLは、このドライブバイダウンロードだけを使っていましたが、それだけでも危険なのです。
バンキングスパムへの対応
以下の三点について、特に注意しましょう。
(1)不要メールは潔くゴミ箱へ
利用したことがない組織やサービスからメールを受け取った場合、メールの本文を無視し、削除すべきでしょう。いかなる場合であっても、添付ファイルを開けたり、URLをクリックするべきではありません。
(2)個人情報の入力には細心の注意を
メールやサイトを通じて、個人情報や口座番号、パスワードなどを入力する際には、サイトのURのチェックなどを行い、くれぐれも注意しましょう。
(3)リンクURLをクリックしない
オンラインバンキングなどのURLは、メールに書かれているURLをクリックせずに、手入力で打ち込むか、ブラウザのお気に入りに登録するなどして、そこからアクセスしましょう。
ホワイトペーパー「スパムメール総論」
スパムメール全般に関して、さらに詳細な情報は、ホワイトペーパー「スパムメール総論」を用意しましたので、下記URLをご覧ください(このURLが怪しいと思った場合は、検索で「G Data」「スパムメール」「ホワイトペーパー」を入力し、探してください)。
URL: http://bit.ly/twNuQH
ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。2011年にはアンドロイド端末向けのセキュリティアプリも発売しました。
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
【本リリースに関する問合せ先】
G Data Software株式会社
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人
E-mail:
URL: http://www.gdata.co.jp/