● 迷惑メールだけではなく……マルウェアがやってくる
迷惑メールの多くは宣伝メールだが、それだけではない。特にマルウェア(=悪意のあるプログラムの総称)がメールで送りつけられるケースが多く、「メールでマルウェアに感染」する恐れがある。
メールでマルウェアに感染する典型例としては、マルウェアそのものが添付されたメールが挙げられる。このメールには実行形式のファイルが添付されており、ファイルを実行することによってマルウェアに感染してしまう。主に、時事の話題など興味を引かせる内容のメールを送りつけることでユーザーの関心を引き、添付ファイルを実行させようとする。
ユーザーが自ら進んでダウンロードしてしまうこの手のマルウェアは、ギリシア神話にちなんで「トロイの木馬」と呼ばれる。ギリシア神話では、ギリシア軍が自軍の兵士を忍び込ませた巨大な木馬を敵軍に送りつけたが、敵軍は城門を壊してまで巨大な木馬を城内に持ち込んでしまった。その結果、木馬に潜んでいた兵士の活躍でギリシア軍が勝利している。この話と同様、マルウェアのトロイの木馬では、ユーザーがクリックしたため、問題のあるプログラムが実行されるのだ。
普通であれば、知らない人から送られてきたプログラムを実行するケースはまれだと思うが、一見すると知人から送信されたかのような偽装が施されるケースがある。これに関しては次々回で詳しく扱う予定だが、知っている人から送られたメールでも文章をよく読み返してみるとよいだろう。いつもとは違う文体なら「送信者を詐称したメール」の可能性が高い。
なお、マルウェアが添付されたメールは大量に出回っていることから、アンチウイルスベンダーが検体を収集することが容易だ。そのため、新たなマルウェアが登場してから数日中には、ウイルス対策ソフトのパターンファイルで検知できるようになっている。
ユーザーはウイルス対策ソフトを導入していれば、マルウェアが添付されたメールを受信した時点で警告が出るほか、添付ファイルを実行してしまったとしても、ウイルス対策ソフトがマルウェアとして検知してくれることが多い。
● マルウェアを連れてくる「ダウンローダー」が添付されたメールも
また、マルウェアそのものは添付されていないが、マルウェアをダウンロードして実行する「ダウンローダー」と呼ばれるソフトが添付されたメールも出回っている。
厳密に言えば、ダウンローダー単体では悪意を及ぼすソフトウェア(=マルウェア)ではない。しかし、ダウンローダーを実行することで、マルウェアがダウンロードおよびインストールされることから、アンチウイルスベンダーでは、ダウンローダーを一種のトロイの木馬として検知している。
そのもの自身はマルウェアではないと言ったが、ダウンローダーには複数のマルウェアをダウンロードするように設定されている悪質なものも少なくない。例えば、ダウンローダーをクリックしたユーザーのOS言語が日本語であれば、日本で人気のあるオンラインゲームのアカウントを盗んだり、中国語であれば中国でよく遊ばれているオンラインゲームのアカウントを盗むマルウェアをダウンロードするものもあるため、被害が増えてしまう。
なお、ダウンローダーがメールに添付される場合、通常のマルウェアそのものが添付されるよりもファイルサイズがコンパクトになる。そのため、攻撃者の立場からすると送信時の負担が減り、より多くの人にメールを配信することが可能となり、被害者が増大する一因となっている。
また、アンチウイルスベンダー側からしてみると、ダウンローダーを活用したマルウェアは、解析に手間がかかるという側面もある。ベンダー側は、おとりのメールアカウントでダウンローダー付きメールを受信しても、ダウンローダーを実行しなければマルウェアを取得できないため、対応時間がかかるのだ。
ファイル添付によりマルウェアに感染させようとする手法としてはこのほか、悪意のある添付ファイル入りのメールが用いられることもある。一例を挙げると、四川大地震のニュースを装った文面のメールとともに、トロイの木馬が送りつけられるケースが確認されている。
このメールの本文では、四川大地震の詳細について添付のWordファイルを確認してほしい欲しいとしているが、実際にこのWordファイルを開くと脆弱性を悪用して、マルウェアをユーザーのPCにインストールしようとする。このケースではMicrosoft Wordに脆弱性が残っている場合、マルウェアがインストールされてしまった(注:この脆弱性は5月の月例セキュリティ更新プログラムで修正された)。
● 本文のURLから悪意のあるサイトへ誘導、そこからマルウェアが仕込まれる
三行広告スパムの例。長々とした説明がなく、興味を引きそうなキャッチフレーズとURLだけが記載されている
ファイル添付によりマルウェアに感染させようとするメールのほかには、ファイルを添付せずにメール本文に悪意のあるサイトへのURLを記載して、誘導先のサイトからマルウェアをダウンロードさせようとする手口もある。この手のメールでは、有名人の写真や世間を騒がせている事件のトピックとともに、URLが記載されている。ユーザーは詳細情報を見ようとしてURLをクリックすると、リンクの誘導先のWebページからマルウェアをインストールされてしまう恐れがある。
最近では、タイトルや本文に短く興味を引きそうなキャッチフレーズとURLだけを記載するメールもあるが、筆者はこれを「三行広告スパム」と呼んでいる。三行広告スパムでも、URLをクリックするとマルウェアに感染する恐れがある。
例えば、「有名人の動画が手に入る!アドレスはココ」と書いてあるURLのリンク先では、偽の動画ページが表示される。しかし、実際には動画は表示されず、「動画再生のプラグインが見つからないので再生できません。以下のプラグインをインストールして下さい」と表示されることがある。ユーザーはこの指示に従うと、プラグインインストーラー(という名のマルウェア)を実行してしまうのだ。
このほか、メールに記載したURLのリンク先ページにアクセスするだけで、ブラウザやプラグインの脆弱性が悪用される事例もある。ユーザーは、これらの脆弱性を修正していない場合、メールに記載されたURLのリンク先ページを閲覧しただけでマルウェアがダウンロード・実行されてしまうのだ。
引用元⇒INTERNETWatch
