Microsoft を装ったセキュリティ更新通知メールにご注意

ID 窃盗犯の予備軍たちは、手を変え品を変え個人情報を盗み出そうとする。セキュリティ会社 Sophos の悪質プログラム分析センター SophosLabs は5月30日、Microsoft を装ってユーザーを騙し、トロイの木馬をインストールさせる詐欺メールが蔓延していると警告を発した。

発表によると、問題のメールの件名は「Microsoft WinLogon Service - Vulnerability Issue」(WinLogon サービスの脆弱性問題) で、送信元は「patch@microsoft.com」になっているという。

メールの中身は、攻撃者にアクセスを許す脆弱性が WinLogon サービスに見つかったため、メール本文内にあるリンク先の修正プログラムをダウンロードするよう促す内容だ。本文内のリンクは、一見したところ Microsoft の URL のように見えるが、実際には全く別の Web サイトに繋がる。そしてダウンロードできるプログラムは、修正プログラムなどではなく、キーロガー機能 (キー操作を記録する機能) を持つトロイの木馬『Troj/BeastPWS-C』(Sophos の識別名) だ。このトロイの木馬は、記録したキー操作を攻撃者のメールアドレスに送信する。

セキュリティ会社 Symantec (NASDAQ:SYMC) のウイルス対策コンテンツ担当上級製品マネージャ Patrick Martin 氏は、修正プログラムのリンクをメールで送信してくるということが、何かおかしいと気づく最初の手がかりになるはずだと語る。

「ウイルス定義が、この種のメールを検出するだろう。それでも、これが修正プログラムのリンクだという趣旨のベンダー発信メールには、常に注意を払うべきだ。一般にベンダーは、特に Microsoft なら、このような方法を取らない。同社の修正プログラム配布手段は『Windows Update』(自動更新サイト) だ」と、Martin 氏は述べた。

ほかにも、今回見つかったメールを偽物だと見分ける手がかりがある。たとえば、この偽メール本文の冒頭には、「Microsoft Coorporation」(Corp の o が1つ多い) という具合に綴り間違いが存在する。一般にこうした英単語の綴り間違いは、英語圏以外の攻撃者によることを示す場合が多い。

Sophos のシニア技術コンサルタント Graham Cluley 氏は、発表の中で次のように述べている。「Microsoft がセキュリティ修正を添付ファイルとして送信しない、ということは、次第に知れ渡りつつある。しかし同時に、修正プログラムをダウンロードするため、メールが正当なものか調べず、リンクをむやみにクリックすることにも気をつけるよう学ぶべきだ」

Sophos と Symantec の両社は、ウイルス定義を最新にしておくこと、そしてメール内の怪しげなリンクをクリックしないよう、改めて注意を促した。