PR
悪質メールの文面例(米ウェブセンスの情報から引用)
悪質メールの文面例(米ウェブセンスの情報から引用)
[画像のクリックで拡大表示]

 米国やオーストラリアのセキュリティベンダーや組織は2007年7月9日(現地時間)、ウイルスを修正プログラム(パッチ)に見せかけてインストールさせようとする悪質なメールが出回っているとして注意を呼びかけた。メール中のリンクをクリックすると、ウイルスが置かれたWebサイトに誘導されて、ウイルスを勝手にインストールされる恐れがある。

 セキュリティ組織の米SANS InstituteやオーストラリアAusCERT、セキュリティベンダーの米ウェブセンスなどによると、今回警告したメールは英語で記述されている。メールの件名はさまざま。例えば、以下のような件名が確認されている。

Virus Detected!(ウイルスを検出!)
Spyware Detected!(スパイウエアを検出!)
Trojan Alert!(トロイの木馬警告!)
Worm Alert!(ワーム警告!)
Worm Activity Detected!(ワームの活動を検出!)

 メールの本文には、英語で次のような内容が記述されている(図)。「あなたのIPアドレスからのメール送信において異常を検出しました。最近流行しているウイルス(ワーム)に感染しているためだと考えられます。そのウイルスの感染を防ぐ公式パッチは、現在では存在しません。(このリンクをクリックして)このパッチをインストールしてウイルスを駆除し、異常なメール送信を止めてください。さもないと、あなたのアカウントを停止します」

 メールに書かれているリンク先のWebサイトには、Webブラウザー(Internet Explorer)などの既知のぜい弱性を悪用する仕掛けが施されている。このため、修正パッチをインストールしていないパソコンでアクセスすると、そのサイトに置かれたウイルスを勝手にインストールされてしまう。

 ぜい弱性がないパソコンでアクセスした場合でも、Webサイトに「15秒たっても(パッチの)ダウンロードが始まらなかったら、ここをクリックしてダウンロードしてください」といった内容を記述しておいて、パッチに見せかけたウイルス(ファイル名はpatch.exe)をユーザーにダウンロードおよびインストールさせようとする。ウイルスをインストールすると、パソコンを乗っ取られる恐れがある。

 ベンダーや組織によると、今回の悪質メールを送信しているのは、2007年7月4日ごろにグリーティングカード(e-Card)の受信通知メールに見せかけた悪質メールを送信していたグループと同じであるという。基本的な手口は同じで、メールの内容だけを変えている。

 メールで誘導されるWebサイト(ウイルスをインストールさせるWebサイト)は多数存在するため、すべてを閉鎖させるのは困難。ウェブセンスによれば、グリーティングカードの受信通知メールに見せかけた手口では、250以上のWebサイトが確認されたという。今回の手口については、AusCERTによれば現時点で50サイト以上あり、今後も増えるとみている。