Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

ボストンマラソン爆発事件を利用する悪質なスパム活動

Created: 18 Apr 2013 09:04:29 GMT • Translations available: English
Samir_Patil's picture
0 0 Votes
Login to vote

寄稿: Christopher Mendes

2013 年 4 月 15 日、多数の参加者が自己の限界に挑みながら完走を目指していたボストンマラソンを卑劣な行為が襲いました。ゴール付近で 2 度の爆発事件が発生したのです。事件が起きてからわずか数時間のうちに、マルウェアが仕組まれた大量のスパムメールが出回りはじめました。

シマンテックは、スパム対策、侵入防止システム(IPS)、ウイルス対策を使う多層型の検出技術で攻撃を遮断しており、シマンテック製品をお使いのお客様はこの攻撃から保護されています。ウイルス対策は、ダウンロードされるファイルを Packed.Generic.402 として検出し、IPS はこの攻撃を Web Attack: Red Exploit Kit Website として検出します。

スパムメール自体はごく単純なものです。メッセージ本文には、[削除済み]/news.html または [削除済み]/boston.html へのリンクが記載されています。

BostonFig1.png

図 1. スパムメールのサンプル

リンクをクリックすると、図 2 のように感染した Web ページが開きます。この Web ページには、事件現場を収めた一連のビデオが表示されています。ページの最後には、読み込み途中のビデオがあり、Red 悪用ツールキットにリンクされています。これが、ユーザーのコンピュータ上でさまざまな脆弱性を悪用します。悪用に成功すると、boston.avi_______.exe というファイルのダウンロードするよう求めるポップアップが表示されます。

BostonFig2.png

図 2. 感染した Web サイト

スパムメールメッセージには、以下のような件名が使われています。

  • 件名: 2 Explosions at Boston Marathon(ボストンマラソンで 2 度の爆発)
  • 件名: Explosion at Boston Marathon(ボストンマラソンで爆発)
  • 件名: Explosion at the Boston Marathon(ボストンマラソンで爆発)
  • 件名: Boston Explosion Caught on Video(ビデオがとらえたボストンマラソン爆発の瞬間)
  • 件名: Boston attack Aftermath(ボストン爆発事件の余波)
  • 件名: Boston Aftermath(ボストンのその後)

BostonFig3_0.png

図 3. ボストンマラソンを悪用するスパムメールの件数

スパマーの意図は、当然ながら爆発事件に関するビデオや情報を共有することではなく、今回の惨劇を悪用してマルウェアを拡散することにあります。

このような卑劣な手段には、引っかからないようにしてください。メールメッセージに記載されている疑わしいリンクはクリックせず、セキュリティソフトウェアを常に最新の状態に更新しておくことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。