3 月に日本を襲った惨劇をスパマーが悪用していることは、以前にこのブログでも報告しました。それ以来、地震と津波の被災者を救済する努力が日々進む一方で、この悲劇を悪用し続けるスパム攻撃の亜種がいくつも確認されています。過去に出現した例と同様に、3 月の第 3 週には、メッセージ本文に画像へのリンクを埋め込んだメッセージの形式によるウイルス攻撃が確認されました。こうしたウイルス攻撃も、詐欺メールと並んで、災害の発生後によく見られる手口です。ウイルス攻撃に使われたメッセージの件名とスクリーンショットのサンプルを以下に示します。
件名: Novo tsunami atinge Sendai e Japao declara estado de emergencia em usina nuclear
[津波がまたしても仙台を襲い、原発では緊急事態を発令]
このスクリーンショットからもわかるように、メッセージにはビデオが埋め込まれているように見えますが、実際にはただの画像へのリンクです。このリンクをクリックすると、実行可能ファイルのダウンロードとインストールを求められます(下図の XAR485849834.exe)。これはブラジルのオンラインバンキングを狙うトロイの木馬に関連するマルウェアです。画像のリンク先 hxxp://xxx.<削除済み>trade.com/globo.com.html に進むと、攻撃者のコンピュータからマルウェアのペイロードがダウンロードされます。インストールに成功すると、マルウェアはユーザーのインターネットバンキングに関する情報などの機密情報を収集します。
上の例と同様に、スパム攻撃の別の亜種では、津波による壊滅的な被害のビデオを見るように誘導するメッセージが使われています。このスパムメッセージの差出人と件名は、次のとおりです。
差出人: "Veja o video gravado no momento do tsunami no japao." <tsunami@terra.com.br>
件名: Veja o video gravado no momento do tsunami no japao.
この件名とメッセージ本文(ポルトガル語)を訳すと、次のようになります。
件名: 津波発生時に撮影されたビデオをご覧ください。
カメラがとらえた津波のすべて
ビデオを見る
ここでも、ビデオのように見えるのはただの画像であり、画像にはマルウェアのダウンロード元コンピュータへのリンクが含まれています。これらのスパム攻撃に使われている IP アドレスをたどると、発信元はブラジルでした。
今回の詐欺では、大震災の発生以来広まっている 419 詐欺(ナイジェリア詐欺)メールを送信して被災者支援を悪用する手口も見られます。ナイジェリア詐欺の亜種として最近確認された例では、原発の危機的な状況への取り組みを紹介しつつ、地震と津波に被災した人々を支援しようという偽のメッセージが使われています。
メッセージでは、被災地域で救護と復旧に当たっているさまざまな組織が紹介されていますが、最後まで読み進むと、代表的なサービスを利用した電信送金の形で寄付を募っていることがわかります。また、送金の際には、明らかに詐欺師のものと思われるメールアドレスに、取引の詳細情報(領収書の記載内容)も送信するように要求されます。詐欺師たちが電信送金を好むのは、支払い処理の取り消しも追跡も不可能であり、身元確認も最小限で済むからです。詐欺メールに使われている IP アドレスは 82.128.7.139 で、これはナイジェリアのラゴスに行き着くものでした。この IP アドレスは、過去に同類の詐欺に使われていたためブラックリストに登録されています。
読者の皆さまも、せっかくの支援が被災地に届かないことのないように、地震と津波の被災者に対する支援は、正規の確実な経路で送るようにしてください。また、特に実行可能ファイル(.exe)など、特定の種類のファイルをダウンロードする際は注意してください。特に送信者が不明な場合には、この種類の拡張子のファイルが含まれる電子メールや、そういった拡張子にリンクされている電子メールは疑わしいと考えてください。
備考: このブログで使用したスパムのサンプルを提供してくれた Carlos Mejia、Mayur Deshpande、Paresh Joshi の各氏に感謝します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。