PCセキュリティーを守る！――ビジネスの新常識 第5回

毎朝の憂鬱！スパムメールの手口と脅威、その対策まで

添付ファイルに用心
でも手口はそれだけじゃない！

　そもそもメールは、不正プログラムの感染経路として以前から悪用されてきた。第2回（関連記事）の記事冒頭でも触れた「ラブレターウイルス」（2000年に登場）は、メールを悪用して拡散する不正プログラムとして有名である。

　しかも、「メールに添付した私からのラブレターを読んでください」との本文でユーザの興味を誘い、添付ファイルを開かせる手法は、ソーシャルエンジニアリングそのものである。

図6　2009年9月に流通したマイクロソフトを騙るスパムメール

　しかし、現在ソーシャルエンジニアリングの手法はその巧妙さを増してきている。例えば、図6のメールを見ていただきたい。これは9月ごろに流通が確認されたスパムメールである。

　メールタイトルは「Conficker.B Infection Alert」となっており、送信者は「Microsoft Windows Agent」である。「Conficker.B」とは、Windowsの不具合を狙って感染を拡大する不正プログラムの名称である（トレンドマイクロではWORM_DOWNADという名称）。

図7　添付ファイルを実行すると感染する偽セキュリティソフト「Power-Antivirus-2009」

　Conficker.Bは2008年11月以来、企業ユーザーを中心に感染被害が拡大しており、現在でも被害が続いている。文面を読む限り、メールに添付されたファイル「install.zip」はConficker.Bの“フリースキャンツール”とのだが、この添付されたzipファイルの中身を実行してしまうと偽セキュリティソフトに感染してしまう（図7）。

　偽セキュリティソフトとは、画面上に偽の感染警告を出してユーザを騙し、「製品版」を購入させる悪質な詐欺ソフトである。実際に日本国内でも、偽セキュリティソフトに感染したという報告が増加し、10月の国内感染報告数は第2位となった。

図8　CNNからのニュースメールに偽装したスパムメール（2008年8月）

　スパムメールの騙しの手口は、図6のような不正プログラムをメールに添付するものだけではない。メール本文のURLから、不正プログラムがダウンロードされる不正なWebサイトに誘導するものもある。図8はその一例である。

　一見するとCNNからのニュースメールのようで、不審な添付ファイルもない。しかし、“ニュース動画が見られる”というサイトへのリンクをクリックすると、動画ファイル（もしくは動画再生用のシステムファイル）に偽装した不正プログラムがダウンロードされる仕組みになっている。

　「不審なメールの添付ファイルは開かない」という従来からの対策は今も確かに有効ではあるが、先に述べた2つの例を見ても分かるように、送信元を有名な企業や組織に詐称しているので、一般ユーザーには「どのようなメールが不審なのか」を見極めるのが難しくなっている。

　ソーシャルエンジニアリングの手段はほかにもあり、オークションサイトやオンラインバンキングの“アカウント更新の手続き”と偽って、個人情報を盗むサイト（フィッシングサイト）に誘導するケースや、添付ファイルを宅配業者からの請求書に偽装したケース、また企業の人事異動の時期に“人事異動のお知らせ”に偽装したメールが送りつけられたケースも確認されている。

　こうしたスパムメールの脅威から身を守るためには、IT関連のニュースサイトやセキュリティベンダーのWebサイトをこまめにチェックして、どんなメールが流通しているか、情報収集するのが有効である。スパムメールに関する事前知識があれば、受信した際の対応も変わってくるはずだ。

　実際にトレンドマイクロに寄せられた被害ケースでも、「スパムメールを開く前に検索サイトなどを使って情報収集すべきだった」という声が、被害にあったユーザーから寄せられている。

◆

図9　ウイルスバスター2010の迷惑メール対策ツールバー（赤線の部分）

　このような対策に加えて、使用しているPCにスパムメール対策を施しておくことも肝要だ。企業内であれば、システム管理者が何らかのスパムメール対策を全社的に施していると思うが、これを自宅で読んでいる方はそのPCにスパムメール対策製品が入っているか、今一度確認してほしい（図9）。

ASCII倶楽部

お知らせ