福田康夫新首相になりすましたトロイの木馬ウイルスに感染したメールが出回っている。「ワード」のファイルに偽装したり、特定のユーザーを狙った「スピア攻撃」という手法を使っている。今後さらに出回る可能性があるので警戒が必要だ。(テクニカルライター・三上洋)
「福田康夫」なりすましメール福田康夫首相のなりすましメールが出回ったのは、9月24日のこと。メールは「アジアの一員たることを機軸とする外交」というタイトルで、末尾には福田康夫事務所の住所や電話番号が書かれていた(一部報道機関の報道による)。
問題は添付されていたファイルで、「mofa」というタイトルが付いていた。MOFAとは外務省(Ministry of Foreign Affairs)の略字で、メールの内容に合わせて外交関係の文書のように見せかけている。しかし実際にはトロイの木馬(広義のウイルスの一種)であり、ダブルクリックするとパソコンに感染し、外部から勝手に遠隔操作されてしまう。首相の名前で安心させ、メール受信者にトロイの木馬を仕込もうとする悪質なものだ。
福田康夫事務所では「これらのメールは本人ならびに福田康夫事務所とは一切関係がない」と、福田康夫オフィシャルサイトでアナウンスしている。
「ワード」に偽装したトロイの木馬今回のトロイの木馬は、Backdoor.Darkmoon.E(シマンテックの定義による)と呼ばれるものだ。トロイの木馬とは、被害者のパソコンに忍び込んで遠隔操作してしまうプログラムのこと。広い意味でウイルスの一種と考えていいだろう。
添付されていたのは「mofa.zip」というファイルで、ZIP形式の圧縮ファイルだった。圧縮ファイルを開くと「mofa.exe」という実行プログラムになる。しかし巧妙なことにアイコンが偽装されており、マイクロソフトのワードのアイコンが付いていた。ウィンドウズの初期設定では、拡張子を表示しない設定になっている。そのため一見すると「mofaという名のワード文書」のように見える。
セキュリティー対策ソフトメーカー、シマンテックの浜田譲治さんによれば、「パソコン初心者の多くは拡張子を表示していません。そのため今回のように「ワード」のアイコンが付いていると、安易にダブルクリックしてしまう人もいるでしょう。ダブルクリックすればトロイの木馬に感染してしまいます」とのこと。
アイコン偽装はウイルスメールによくある手口ではあるが、今回のように注目を集めたニュースに関連したメールが来ると、思わず開いてしまう可能性がある。
心理を付いた攻撃と「スピア型攻撃」この事件の特徴は2つある。1つは「人間の心理をついたメール」であるということ。「従来のような大量拡散型のウイルスメールは、すでに周知されていることもあって、引っかかる人は少なくなってきました。そのためウイルス作者は、ソーシャルエンジニアリングの手法を使い始めています。話題となったニュースに関連したメールを送ることで、ウイルス感染者を増やそうという戦略なのでしょう」(浜田さん)
ソーシャルエンジニアリングとは、人間の心理的な隙を突いて情報を聞き出すこと。今回の場合で言えば、大きな話題となっている「福田康夫新首相誕生」のニュースに乗っかり、メール受信者の興味を引こうとしている。しかもメール本文が、福田首相の外交戦略の説明で、添付ファイルが外務省の名前の付いたワード文書に偽装したものである。「福田康夫事務所からのメール? 本物なのかな?」と安易に開いてしまうことを狙っているのである。
もう一つの特徴は「スピア型」の攻撃だということ。スピア型攻撃とは、特定の人物を狙うもので、従来の不特定多数を狙ったウイルスメールとは大きく異なる。犯人は相手が誰かを知った上で、トロイの木馬付きメールを送っているのだ。例えば国会議員のメールアドレスに宛てに送り、ターゲットのパソコンを遠隔操作しようという手法だ。この福田首相なりすましメールを受信した人は、犯人に狙い撃ちされていると言えるだろう。
浜田さんは「今回のようなターゲットを絞った攻撃が増えてきています。送りつける相手に合わせてカスタマイズしたメールを作っているんですね。この種の攻撃は、アメリカで数年前から増えてきており、今後日本でも増加する可能性があります」と分析する。
ウイルス対策ソフトの準備をしっかり今回の福田首相なりすましメールは、ウイルスメールの技術としては新しいものではない。しかし世間の関心が高まって事柄を利用する「ソーシャルエンジニアリング的方法」であることと、特定の人物を狙う「スピア型攻撃」であることが重要なポイントである。
特定の人物を狙ってトロイの木馬を仕込むということは、ターゲットのパソコンにある情報を盗み出すのが目的だろう。もし感染すれば、あなたのパソコンにある個人情報や仕事のファイルを勝手に見られてしまう。仕事にも大きな影響が出る可能性があるので、十分に警戒するべきだ。
今回のトロイの木馬は、同社のウイルス対策ソフトを利用して駆除できる。また他社のウイルス対策ソフトでも、順次対策が進むはずだ。必ずウイルス対策ソフトの自動更新を有効にして、ウイルスとトロイの木馬の感染を防ごう。
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20070926nt09.htm