2012 年 2 月 6 日午前 3 時に、シマンテックセキュリティレスポンスは、今年の米国の確定申告の時期を狙った悪質なリンクが含まれるスパムを確認しました。同日午前 6 時から午後 1 時までにスパム量が突出し、Blackhole ツールキットを利用したサイトへの URL が、重複を含まず 200 種類以上も識別されています。
Blackhole ツールキットは、被害者のコンピュータのさまざまな脆弱性を標的にしてコンピュータを危殆化します。シマンテック製品をお使いのお客様は、スパム対策、ウイルス対策、IPS シグネチャという多層型の保護で保護されています。悪質な Web サイトからダウンロードされるペイロードは、Trojan.Zbot として検出され、IPS はこの Web 攻撃を Web Attack: Blackhole Toolkit Website 14 および Web Attack: Blackhole Exploit Kit Website 11 として検出します。
このスパムでは、アカウント情報を確認するためにリンクをクリックするよう求められます。そのようなスパムの一例を次に示します。
メッセージでは、以下のようなリンクが確認されています。
リンクをクリックした移動先のページにはさらにリンクがあり、そこに特定の JavaScript ファイル(下図)が仕掛けられています。すべてのリンクが、"js.js" というただ 1 つのファイルにつながっています。
このスパムメールで使われているドメインは、最近登録されたか、セキュリティ上の弱点を利用して乗っ取られたドメインです。確定申告の期間を間近に控えたこの時期には、悪質な攻撃から身を守るための一般的なセキュリティ上のガイドラインを忘れないようにしてください。
セキュリティ上のヒント:
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。