メールマガジンでウイルス感染

ウィルス情報

securityvirus2009-08-11


メールマガジンでウイルス感染

 メールを受信しただけでウイルスに感染し、パソコン内のIDとパスワードが盗まれるという事件が発生している。企業からユーザー向けに送られたメールマガジンが原因だった。テクニカルライター・三上洋)

企業からのメールマガジンに不正コード
HTMLメールとは、サイトのように画像や文字装飾があるメールのこと。企業がユーザー向けに送るメールマガジンや広告メールなどで、よく使われているのでおなじみだろう。今回の事件では、企業からのHTMLメール(メールマガジン)に、不正なサイトへ誘導するコードが含まれていた。

 このHTMLメールでは、メールソフトやブラウザーでは表示されない方法で、不正なサイトへ誘導が行われていた。使われていたのはIFRAME(インラインフレーム)と呼ばれるコードで、本来はほかのサイトの画面の一部を切り取るようにして表示するものだ。しかし攻撃者側はあえてこのIFRAMEの大きさをゼロに設定し、メールやブラウザーでは表示させずに不正なウェブサイトへ誘導していた。

 なぜ企業からのHTMLメールに、不正なコードが入り込んだのだろうか。これについて平原氏は「原因は特定できていないが、メールを作成した企業の担当者のパソコンが、ウイルスに感染していたのではないか」としている。

 平原氏によれば、最近のウイルスの一部には、感染したパソコンにあるテキストファイルやHTMLファイルを書き換える機能があるそうだ。パソコンに保存されているテキストファイルやHTMLファイルを抽出し、一部を書き換えて不正なサイトへ誘導するコードを入れてしまう。例えばサイトの担当者であれば、保存されているHTMLファイルに不正なコードが追加されてしまうし、今回のようにHTMLメールの担当者であればメールの中に不正なコードが勝手に追加されてしまう。

 根本的な原因は企業のメール担当者にあり、ウイルス感染に気付かずに送ってしまったことで受信した一般ユーザーに被害が及んでしまう。

パソコンの弱点をチェックしてから感染

このメールマガジンで不正に誘導されるサイトは、中国国内に設置されているサーバーだった。最初に誘導される不正サイトでは、パソコンのセキュリティー診断が行われていた。不正なサイトでセキュリティー診断とは不思議な話だが、これは後でウイルスに感染させるための準備だ。攻撃者がパソコンの弱点をチェックし、不正プログラムを仕込めるかどうか確かめている。泥棒に例えるならば、忍び込む前にターゲットの家の鍵をチェックするようなものだと考えていいだろう。

 そのうえで誘導された不正サイトでは、実質的な脅威をもたらす「WORM_SILLY.N」という不正プログラムがユーザーのパソコンへ勝手に送り込まれる。単純に一つの不正プログラムを仕込むだけでなく、アップデートのファイルも同時にダウンロードさせる仕組みとなっている。

 これはウイルス対策ソフトの検出を想定したもので、不正プログラムをアップデートさせることで、検出されても別の亜種によって感染させようという企みだ。そのために今回の手法では、28パターンの亜種を同時にダウンロードさせている。対策ソフトから逃れるために巧妙な方法を使っているのが特徴だ。


メールソフトでは表示されない方法で、不正なサイトへ誘導。誘導先は、中国国内に設置したサーバーだった

ID、パスワードを盗み、キーボード入力監視も可能?

犯人の目的は、オンラインゲームのID(ユーザー名)とパスワードを盗み出すことだった。オンラインゲームのID、パスワードは、アンダーグラウンド市場でもっとも換金しやすい情報であり、今回の事件は金銭目的であることがハッキリしている。

 ただし平原氏は、さらに被害が拡大する可能性があると述べている。「今回の不正プログラムは、ウィンドウズでのキー入力を監視してオンラインゲームのID、パスワードを盗み取っている。その機能を使えば、キーボード入力をすべて記録、送信することもできてしまう」と平原氏は警告している。すべてのキーボード入力を盗み取る亜種が出る可能性もあるだろう。

 今回のように企業の担当者のパソコンが感染し、ユーザー向けに不正なHTMLメールが一斉送信されてしまうと、被害は爆発的に広がる。ユーザーは企業からのメールマガジンは安全だと思っているが、開いただけで感染してしまう可能性が高いのだ。ユーザーにとっては防御が難しいパターンだ。最新のウイルス対策ソフトでは、不正なサイトへのアクセスを防止する機能(トレンドマイクロではWebレピュテーションと呼んでいる)があるが、それでも万全とは言えないだろう。

 筆者の個人的意見にはなるが、HTMLメールを表示しないことを呼びかけたい。HTMLメールはカラフルで見やすいため企業からのメールによく使われるが、サイトとほぼ同じものだけに、今回のように不正なコードを忍び込ませられる。できればメールソフトの設定を変更し、HTMLメールを表示せずにテキストだけで表示することをお勧めしたい。これなら不正なサイトへ勝手に誘導されるコードを回避できる。企業からのメールマガジン、情報メールなどは表示できなくなってしまうデメリットはある。しかし、安全を重視するならHTMLメールの表示はオフにしたほうがいいだろう。

http://www.yomiuri.co.jp/net/security/goshinjyutsu/20090807-OYT8T00515.htm