2011年7月末以降、「TrendLabs(トレンドラボ)」での検体収集や解析の事例から、サイバー犯罪者による最近の攻撃の傾向として、特に休暇や観光を楽しむ人々が標的となっていることを確認しています。

その傾向は、特にここ最近の「スパムメールを利用した攻撃の急増」から把握できます。サイバー犯罪者たちは、「休暇や観光を楽しむ人々」という特定層の関心を惹くためにスパムメールを巧みに利用し、何も知らないユーザは、結果的にマルウェアをコンピュータ内に侵入させてしまうことになります。添付されている不正なファイルや、その不正ファイルが行なう動作は、いずれも大差はありませんが、標的となるユーザに応じてスパムメールの内容や不正なファイルの動作も巧妙に変更されています。

まず、そうしたスパムメールの一例として、「ホテル支配人からの連絡を装ったメール」があげられます。「クレジットカードによる支払いの際に誤った処理がなされてしまった」と受信者に伝える内容で、休暇中の観光でホテルを利用したばかりのユーザには効果があるといえます。このスパムメールの本文には、「誤ってあなたの口座から引き落とされたしまった金額を取り戻すためには、添付ファイルを開き、必要事項を記入の上、ご利用の銀行に連絡する必要があります」などの内容が、もっともらしく記されています。むろん、ユーザが指示どおりにファイルなどを開いてしまうと、実際は「マルウェアの実行」という結果を招くだけです。

クレジットカード関連のスパムメールとしては、「MasterCard(マスターカード)からの通知を装ったメール」もあります。この場合は、「お客様のカードが不正に利用された形跡があるため、サービスを停止しました」などの内容がメールの本文に記されており、驚いたユーザが、あわてて添付ファイルを開くなど、「偽の指示」に従ってしまい、感染被害に陥ることになります。

別の趣向の手口としては、「出会い系サイトからの宣伝を装ったメール」もあげられます。この場合、「Map of Love(愛の地図)」などといったアプリケーションを紹介する内容となっており、添付されているファイルをユーザに開かせるため、「このアプリケーションを利用すれば、好みの相手と出会える “ホットスポット” を簡単に探し出すことができます」などといった宣伝文句が記されています。むろん、うっかりそのような添付ファイルを開いてしまうと、実際には、コンピュータの感染被害に陥るだけです。

これらのスパムメールを見ても、ここ最近の傾向としては、サイバー犯罪者たちが、いわゆる「休暇や観光を楽しむ人々」を標的にしていることが容易に理解できます。いずれの場合も、「ホテルでの支払いのトラブル」や「クレジットカードの不正利用」、「(異国の地での)出会い」など、休暇中の観光旅行でいかにも発生しそうな出来事を巧みにソーシャルエンジニアリングの手口に利用しているからです。また、7月から9月にかけてのこの時期、北半球の多くの地域が夏季休暇となっており、多くのユーザが海外旅行などに出掛けて油断してしまっている分、この種のスパムメールの被害に見舞われる危険性も高いといえるでしょう。

また、これらの例からは、スパムメールによるソーシャルエンジニアリングの手口を駆使した不正活動が行われる際、スパムメールのジャンルは、「効果さえあれば、どのような内容でも見境なく利用される」ということも理解できます。その意味では、ユーザ側も、「いかなるジャルでも、それを巧みに利用したスパムメールの攻撃が行われる可能性がある」ということを肝に銘じ、日頃から細心の注意を払っておく必要があります。


この脅威は、どのようにしてユーザのコンピュータに侵入しますか?

不正な添付ファイルを含むスパムメールを介してユーザのコンピュータに侵入します。スパムメールの本文には、ユーザの注意を引く内容が記載されており、これにより、ユーザが添付ファイルをダウンロードして開くように仕向けられます。ユーザは、添付ファイルを開くことで、メールに記載されたサービスや特典を手に入れたり、直面した問題を解決したりすることを期待しますが、実際には、その期待とは裏腹に、マルウェアが実行されるなどの感染被害に見舞われることになります。


これらの脅威がコンピュータに侵入すると、どのようなことが起こりますか?

スパムメールに添付されているファイルをユーザがうっかり開いてしまった場合、今回のケースでは、以下のいずれかのマルウェアが実行され、様々な不正活動がコンピュータ上で行われることになります。

これらのマルウェアは、以下のような不正活動を実行します。

  • 「TROJ_BREDO.NEW」は、実行されると、「TROJ_FAKEAV.SMHB」という別のマルウェアをダウンロードします。この「TROJ_FAKEAV.SMHB」は、偽セキュリティソフトであり、「偽の感染警告」を表示させることで、最終的にユーザからクレジットカード情報など金銭に関連する個人情報を収集します。またこの「TROJ_FAKEAV.SMHB」は、侵入したコンピュータ内の特定の実行ファイルが実行されるのを阻止する機能も備えています。


  • 「TROJ_YAKES.AO」は、実行されると、特定のWebサイトにアクセスし、情報の送受信を行なうとともに、他のマルウェアのダウンロードも行ないます。なお、この「TROJ_YAKES.AO」は、侵入したコンピュータにセキュリティ関連のソフトウェアがインストールされているのを確認した場合、自動的に自身を強制終了します。

上記のマルウェアは、ユーザにどのような影響を与えますか?

これらのマルウェアがコンピュータに侵入すると、他の情報収集型のマルウェアなどがダウンロードされる可能性があり、ユーザは、情報漏えいなどの深刻な感染被害にさらされることになります。これにより、ユーザのプライバシーが侵害されたり、収集された情報が不正に利用され、深刻な金銭的被害に見舞われる恐れもあります。


トレンドマイクロ製品は、この脅威を防ぐことができますか?

もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の「Eメールレピュテーション」技術により、スパムメールがユーザのメールボックスに届くのを未然に防ぎます。「Webレピュテーション」技術により、マルウェアがダウンロードされてくるような不正なWebサイトへのアクセスを未然にブロックします。さらに「ファイル・レピュテーション」技術は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検知してファイルが実行されるのを未然に防ぐことができます。このようにして、今回の脅威による情報漏えいを阻止することができます。

一般のユーザは、無償のマルウェア検出ツール「Trend Micro HouseCall」を利用することで、コンピュータをスキャンし、検出された脅威を削除することができます。

スレット・レスポンス・エンジニアのKathleen Notarioは、以下のようにコメントしています。

「Eメールは、いまなお、オンライン・コミュニケーションにおける主要な通信手段であり、これを利用しないユーザはいないと言ってよいほどです。それゆえ、サイバー犯罪者側も、Eメールを非常に有効な感染経路と見なしています。こうした見方が続く限り、スパムメールの数は、増加し続ける一方でしょう。したがってユーザ側も、特に送信元が不明なメールに関しては、添付ファイルは絶対に開かない、本文中のリンクは絶対にクリックしないという取り組みを徹底する必要があります。」


この脅威による感染被害を防ぐためには、ユーザは何をすればよいでしょうか?

何よりもまず、信頼のおけるセキュリティソフトを導入することです。これにより、今回の脅威に関連するスパムメールがユーザのメールボックスに届くのを未然に防ぐことができます。また、スパムメールや疑わしいメールを受信した場合は、絶対に添付ファイルは開けず、直ちに削除することです。