 |
 |
記事検索 |
バックナンバー |
 |
||
|
||
【 2008/10/08 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2008/09/24 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2008/09/17 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2008/09/03 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2008/08/27 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2008/07/30 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2008/07/23 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2008/07/16 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2008/07/09 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2008/07/02 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2008/06/25 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2008/06/18 】 |
||
|
||
|
||
|
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
 |
||||||||||||||||||||||||||||||||||
|
第23回:メール編(12)迷惑メールに潜む罠(中) |
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||
|
● 悪意のあるメールにはどんな罠が仕掛けられているか 悪意のあるメールを送信する人は、あなたに気づかれないようにマルウェアを実行、感染させようとしている。もしかすると「あのセレブのお宝画像」と誘導して、画像も見せながらマルウェアをダウンロードさせているかもしれない。この場合、一般ユーザーはだまされたことすら気づかず、「メールのリンクをクリックしてお宝画像(だけ)を入手した」と思ってしまう可能性もある(実際にはクリックしても何の反応もないか、Webブラウザがクラッシュしてしまうだろう)。 マルウェアによる被害はさまざまで、PC内に入っているデータや記録されている個人情報(メールアドレスやインストールしているプログラムのシリアル番号)が盗まれたり、ユーザーの入力を監視して重要そうなデータ(ユーザーアカウント情報や16桁の数字を含む入力フォームデータ、クレジットカード番号など)を外部に送信するスパイウェア、外部からの指令コマンドに従って動作する「ゾンビプログラム」に感染するケースなどがある。 特にゾンビプログラムに感染したPCは、迷惑メールの送信やインターネット上のサーバーを攻撃するための「踏み台」として動作することになる。ゾンビプログラムではないが、HDD上のデータを検索してメールアドレスが含まれていると、マルウェア入りのメールを送るものもある(後で説明する「Netsky」が該当する)。 ● 実際に届いたマルウェア入りメール それでは、筆者のメールボックスに実際に届いたメールの中から、マルウェアが添付されたメールをいくつかピックアップしてみよう。本連載では、Webページでメールアドレスを公開すると、スパムメールがどれくらい届くかを検証するために、第1回連載(2008年1月30日)でメールアドレスを公開していた。その結果、記事執筆時点までに397通のスパムメールが届き、うち1件はマルウェアが添付されていた。 このマルウェア添付付きメールの本文を見てみると、「肉―蛯原友里ヌード写真集:蛯原友里:本」などと書かれていて意味不明だが、どうやら「エビちゃんのヌード写真集」が付いていると言いたいらしい。実行形式の添付ファイルのほかに、URLも記載されていたが、アクセスしてみると実行ファイルがダウンロードされた。この実行ファイルを見てみたが、メールに添付されていた実行ファイルとは内容が異なっていた。 添付されていたファイルは、Yahoo!メールのメールスキャンでウイルスと判定された(ウイルスの検知名称を見る限り、Yahoo!メールのウイルスチェックには、シマンテックのウイルススキャンエンジンを使っているようだ)。「infostealer.Onlinegame」という名称からわかるように、オンラインゲームのアカウントを盗み出すプログラムのようだ。
筆者の別のダミーアドレスを見てみると、メール添付のマルウェアとして有名なNetskyが見つかった(2004年時点での脅威なので「有名だった」というべきか?)。 Netskyは、感染するとHDD内のファイルを検索して、メールアドレスらしきものがあると、そのアドレスにNetsky入りのメール送信を行う。 Netskyには多くの亜種があるが、筆者のもとには2種類の亜種が届いていた。どちらもファイルの拡張子が.pifだが、中身はプログラムファイルであり、ダブルクリックすると感染してしまう(一見すると実行ファイルに見えない)偽装が施されている。また、2004年当時では、「メールをプレビューするだけで感染」するとして問題になっていた。
● 難読化も施される マルウェア添付ではないが、解析を難しくする「難読化」が施されたメールも届いていた。本文にはキャッチフレーズだけ書かれており、「詳細は以下を読んで欲しい」というタイプだが、URLではなく「Full_Deteils.htm」というHTMLファイルが添付されていた。添付ファイルサイズは2KBと小さめで、わざわざ別文書にする必要はないような気がする。
「Full_Deteils.htm」というHTMLファイルは、ウイルススキャンしても一応、問題なしと表示されている。筆者はこの手の添付は普段なら開かないが、今回は感染してもかまわない実験環境を作っているので閲覧してみた……。 すると、画像が表示された。しかも、アドレスバーを見ると、いつの間にかYahoo!メールでない別のサイトに誘導されている。つまり、件の「Full_Deteils.htm」が何か悪さをしているようだ。 問題のHTMLファイルをテキストエディタで開いてみると、判読不能なドキュメントが表示された。単なるHTMLファイルではなく、何らかの暗号化を施したJavaScriptであることがわかった。
この迷惑メールは、「お金儲け」ツールを販売することだけが目的のようで、マルウェアの配布は行っていないようだ。しかし、HTMLファイルを添付しているのは、マルウェア以外にもイタズラ(ブラウザクラッシャー)や脆弱性を悪用される可能性もあるので、添付のHTMLファイルは不用意に開封するのは避けたほうがよい。 2008/07/16 11:18
- ページの先頭へ-
|
