Internet Watch logo
記事検索
バックナンバー
【 2008/10/08 】
第30回:パスワードのセキュリティ
[11:18]
【 2008/09/24 】
第29回:USBメモリのセキュリティ
[12:31]
【 2008/09/17 】
第28回:メール編(17)迷惑メールをめぐる法改正
[12:51]
【 2008/09/03 】
第27回:メール編(16)迷惑メールを無視する(下)
[15:11]
【 2008/08/27 】
第26回:メール編(15)迷惑メールを無視する(上)
[11:37]
【 2008/07/30 】
第25回:メール編(14)迷惑メールを回避する
[11:51]
【 2008/07/23 】
第24回:メール編(13)迷惑メールに潜む罠(下)
[11:25]
【 2008/07/16 】
第23回:メール編(12)迷惑メールに潜む罠(中)
[11:18]
【 2008/07/09 】
第22回:メール編(11)迷惑メールに潜む罠(上)
[11:18]
【 2008/07/02 】
第21回:メール編(10)迷惑メールが来るキッカケ(下)
[11:23]
【 2008/06/25 】
第20回:メール編(9)迷惑メールが来るキッカケ(上)
[16:01]
【 2008/06/18 】
第19回:メール編(8)「迷惑メール」が氾濫する理由
[11:15]

第23回:メール編(12)迷惑メールに潜む罠(中)


悪意のあるメールにはどんな罠が仕掛けられているか

 悪意のあるメールを送信する人は、あなたに気づかれないようにマルウェアを実行、感染させようとしている。

 もしかすると「あのセレブのお宝画像」と誘導して、画像も見せながらマルウェアをダウンロードさせているかもしれない。この場合、一般ユーザーはだまされたことすら気づかず、「メールのリンクをクリックしてお宝画像(だけ)を入手した」と思ってしまう可能性もある(実際にはクリックしても何の反応もないか、Webブラウザがクラッシュしてしまうだろう)。

 マルウェアによる被害はさまざまで、PC内に入っているデータや記録されている個人情報(メールアドレスやインストールしているプログラムのシリアル番号)が盗まれたり、ユーザーの入力を監視して重要そうなデータ(ユーザーアカウント情報や16桁の数字を含む入力フォームデータ、クレジットカード番号など)を外部に送信するスパイウェア、外部からの指令コマンドに従って動作する「ゾンビプログラム」に感染するケースなどがある。

 特にゾンビプログラムに感染したPCは、迷惑メールの送信やインターネット上のサーバーを攻撃するための「踏み台」として動作することになる。ゾンビプログラムではないが、HDD上のデータを検索してメールアドレスが含まれていると、マルウェア入りのメールを送るものもある(後で説明する「Netsky」が該当する)。


実際に届いたマルウェア入りメール

 それでは、筆者のメールボックスに実際に届いたメールの中から、マルウェアが添付されたメールをいくつかピックアップしてみよう。

 本連載では、Webページでメールアドレスを公開すると、スパムメールがどれくらい届くかを検証するために、第1回連載(2008年1月30日)でメールアドレスを公開していた。その結果、記事執筆時点までに397通のスパムメールが届き、うち1件はマルウェアが添付されていた。

 このマルウェア添付付きメールの本文を見てみると、「肉―蛯原友里ヌード写真集:蛯原友里:本」などと書かれていて意味不明だが、どうやら「エビちゃんのヌード写真集」が付いていると言いたいらしい。実行形式の添付ファイルのほかに、URLも記載されていたが、アクセスしてみると実行ファイルがダウンロードされた。この実行ファイルを見てみたが、メールに添付されていた実行ファイルとは内容が異なっていた。

 添付されていたファイルは、Yahoo!メールのメールスキャンでウイルスと判定された(ウイルスの検知名称を見る限り、Yahoo!メールのウイルスチェックには、シマンテックのウイルススキャンエンジンを使っているようだ)。「infostealer.Onlinegame」という名称からわかるように、オンラインゲームのアカウントを盗み出すプログラムのようだ。


メッセージそのものはやや意味不明だが「エビちゃんのヌード写真」だと思ってファイルを保存しようとすると…… Yahoo!メールのウイルススキャナでは、添付ファイルは「infostealer.Onlinegame」という名称のウイルスであると表示され、ダウンロードできない(同ファイルのVirus Totalでの解析結果とシマンテックの解説

 筆者の別のダミーアドレスを見てみると、メール添付のマルウェアとして有名なNetskyが見つかった(2004年時点での脅威なので「有名だった」というべきか?)。

 Netskyは、感染するとHDD内のファイルを検索して、メールアドレスらしきものがあると、そのアドレスにNetsky入りのメール送信を行う。

 Netskyには多くの亜種があるが、筆者のもとには2種類の亜種が届いていた。どちらもファイルの拡張子が.pifだが、中身はプログラムファイルであり、ダブルクリックすると感染してしまう(一見すると実行ファイルに見えない)偽装が施されている。また、2004年当時では、「メールをプレビューするだけで感染」するとして問題になっていた。


こちらはNetsky.Dで、送信元アドレスは偽装されている。偽装については来週扱う予定だ こちらはNetsky.P。メールの本文やタイトルはいくつかの候補からランダムに選ばれる

難読化も施される

 マルウェア添付ではないが、解析を難しくする「難読化」が施されたメールも届いていた。本文にはキャッチフレーズだけ書かれており、「詳細は以下を読んで欲しい」というタイプだが、URLではなく「Full_Deteils.htm」というHTMLファイルが添付されていた。添付ファイルサイズは2KBと小さめで、わざわざ別文書にする必要はないような気がする。


メールは「1日15分間の作業で毎週500〜5000ドル以上手に入る」という露骨に怪しい内容だ。普段の筆者なら即座にゴミ箱行きにするが…… 原稿のサンプルとしてはちょうどよさそうなので、添付を見るとHTML形式と思しきものだ。しかし、別途添付するにしては2KBとサイズが小さい

 「Full_Deteils.htm」というHTMLファイルは、ウイルススキャンしても一応、問題なしと表示されている。筆者はこの手の添付は普段なら開かないが、今回は感染してもかまわない実験環境を作っているので閲覧してみた……。

 すると、画像が表示された。しかも、アドレスバーを見ると、いつの間にかYahoo!メールでない別のサイトに誘導されている。つまり、件の「Full_Deteils.htm」が何か悪さをしているようだ。

 問題のHTMLファイルをテキストエディタで開いてみると、判読不能なドキュメントが表示された。単なるHTMLファイルではなく、何らかの暗号化を施したJavaScriptであることがわかった。


一応、アンチウイルススキャンは異常もないし、原稿のために閲覧してみることにした すると「1日500ドル稼げる」という文言が並ぶサイトに移行した。よく見ると、アドレスバーが、Yahoo!メールでもダウンロードフォルダでもない他のサイトにジャンプしている

この「お金儲け」には「Income Univers System」とやらを買わなくてはいけないらしい 別のお金儲けキットもあって、2つで99.95ドルとのことだ。朝2時までの限定発売とせかしているが、翌日もしっかり残っていた

さらにクリックすると購入サイトとなる。ブラウザの言語を確認しているのか日本円建てになっていた 添付されたHTMLをテキストエディタで開いてみた。前半がエンコードで可読性を悪くした関数で、後半はこの関数を使って文字コードの変更(一種の暗号化)が施されている

 この迷惑メールは、「お金儲け」ツールを販売することだけが目的のようで、マルウェアの配布は行っていないようだ。しかし、HTMLファイルを添付しているのは、マルウェア以外にもイタズラ(ブラウザクラッシャー)や脆弱性を悪用される可能性もあるので、添付のHTMLファイルは不用意に開封するのは避けたほうがよい。



2008/07/16 11:18
小林哲雄
中学合格で気を許して「マイコン」にのめりこんだのが人生の転機となり早ン十年のパソコン専業ライター。主にハードウェア全般が守備範囲だが、インターネットもWindows 3.1と黎明期から使っており、最近は「身近なセキュリティ」をテーマのひとつとしている。

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.