偽・福田首相メール、添付ファイル「mofa.exe」にバックドアウイルス
偽・福田首相メール、

添付ファイル

「mofa.exe」に

バックドアウイルス


 福田康夫首相を装った偽メールが出回っているそうだ。
 各メディアで取り沙汰されている。筆者にはこの偽メールは来たことはないが…。とにかく、海外からのフィッシング攻撃は本当に巧みであるから気を付けた方がよい。この「福田首相」スパムメール、添付ファイルを開くと、システムがバックドアに感染する。バックドアとはクラッカーにより侵入を受けたサーバにできる不正侵入を行なうための「裏口」。クラッカーとは、悪意をもって他人のコンピュータのデータやプログラムを盗み見たり、改ざん・破壊などを行なう者の総称である。

 クラッカーはコンピュータへの侵入に成功すると、次回も侵入できるように、管理者に気づかれないようこっそりと裏口として、このバックドアを確保する。バックドアが設置されていると、管理者が不正侵入に気づいてはじめの侵入路をふさいでも、クラッカーは前回侵入時に設置したバックドアから再び不正侵入を行なうことができる。そもそも他人のコンピュータを外部から操作する為のウイルスプログラムだ。

 バックドア型ウイルスに感染すると、ウイルス作者やクラッカーが、インターネットなどを経由してユーザに気付かれずこっそりとコンピュータを乗っ取り、ユーザに気付かれずにコンピュータを操作し、別のコンピュータへの侵入などを企てる。電話をかけてきたオレオレ小僧をからかって終わりの日本産の「出会い系誘導型迷惑メール」とは次元が違うのだ。静かに姿を見せないまま犯罪をこなしていく。

 福田康夫・新首相の就任に合わせ、福田首相が送信したように見せかけてこの手のウィルスやマルウェアを添付したメールが出回っているという。セキュリティ企業Symantecが発見した。問題のメールは日本のアジア外交に関する内容で、福田首相の事務所の電話番号と住所を記載しているという。

 問題となるアーカイブファイル「mofa.zip」を入手。これに含まれている実行可能ファイル「mofa.exe」は、バックドア機能を持つマルウェアであることが判明。mofaは外務省の英語名「Ministry of Foreign Affairs」の略称、もっともらしく考えたものだ。この「mofa.exe」を実行すると「mofa.doc」というWord文書を開き、日本語のコンテンツを表示。その裏でシステムに不正プロセスを挿入し、バックドアを作って外部のサイトに接続、攻撃者からの命令を受け入れる状態にしてしまうという。

 福田総理の公式サイトは26日午前現在「なりすましメールにご注意ください」とのメッセージが掲載されている。サイトでは問題のメールについて「本人並びに事務局では一切関与していない」と説明、速やかに削除するよう呼びかけている。筆者には来た事もないし、来たけど気が付かなかったかも知れない。小泉前々総理のメルマガ「ライオンハート」も一度も見ないうちから終っちゃったし、安倍総理は、果たしてメルマガ出してたのか?否かも知らないうちに終っちゃったから…。

スパムメール

 米シマンテックの「シマンテック月例スパムレポート」には様々なスパムについてのレポートが詳しく記されている。今や、世界中を飛び交うメールの7割が迷惑メールなんだそうだ。最近の傾向は「画像スパム」が減少したこと。画像スパムはメールの本文(文字)から迷惑メールかどうかを判断する迷惑メール対策ソフトをすり抜けるため、文章を画像として添付してくるものだ。うまい方法で2006年に増え始め、今年2007年1月には迷惑メールの過半数(52%)を画像スパムが占めていた。しかし、1月をピークに画像スパムの割合は減少。3月には37%、5月には16%、8月には10%となり、9月は7%まで低下。

 その代わりに「スパム添付のURLの再利用」が増えているそうだ。これは、迷惑メールで誘導するURL(Webサイト)を再利用すること。異なる宣伝で同じURLを使い回す、URLのリサイクル。詐欺師側がどうせ騙すんだから面倒くさい!と考えて、同じURLでいいや、と開き直っているのか、いや詐欺師も景気が悪くてURLを一仕事ごとに買い換えるのが勿体無くなったのかは知らないが。

 1個のURLを大事に使って、最初は「クイズに答えて旅行チケットを当てよう」といった虚偽の内容の迷惑メールで誘導するWebサイトが、1週間後には「アンケートに答えて商品券ゲット」という虚偽表示、その後また「ipodプレゼント」とか、これまた虚偽のスパム広告に変わったりって感じらしい。PDFファイルを添付したスパムメールは6月に出現し、続いてExcel、RARを使ったバージョンも登場。中国ドメインの「.cn」を使ったサイトにリンクさせるスパムメールは引き続き増加傾で7月から8月にかけ、.cnの利用は7倍に増えたという。

 また、アメリカのスパム詐欺師は機に敏感でニュースに即座に便乗するらしい。アメリカの金融市場の混乱と米連邦準備理事会(FRB)の利下げに便乗し、住宅ローンや借り換え、実際の住宅などを宣伝するスパムメールが目に見えて増加したらしい。このスパムメールは、まず審査が必要と称して個人情報を提供させ、別のスパムに悪用するそうだ。
 そしてそれらは、テキストとHTMLを使ったスパムメールでやってくるらしい。こうしたスパムでは、スパム対策フィルタをかわすため、無料ホスティングサービスのGeocitiesを悪用したり、HTMLメールでJavaScriptを使ってURLを難読化するなどの手口が採用されているという。

偽・YouTubeで

Stormワームに


 グリーティングカードを装ってメールに記載されたリンクをクリックさせ、悪質コンテンツを閲覧させようとするスパムは手口を次々に変え、YouTubeを悪用する手口も現れた。まずYouTubeビデオへのリンクに見せかけたURL入りのメールを送ってくる。このURLをクリックすると、YouTubeのロゴが入ったページにリダイレクトされる。このページには「15秒経ってもビデオのダウンロードが始まらなかったら、ここをクリック」というメッセージが表示され、video.exeというファイルをダウンロードさせようとする。

 これがStormワームと言って、電子メールを介して他人のコンピュータを乗っ取り、そこから色々悪さをするハイテク詐欺師の手口で感染したコンピュータは、スパムやコンピュータ・ウイルスを広めるのに利用された。Stormワームは、今までも出会い系サイトの登録完了メッセージやワーム感染警告、グリーティングカードを装うなどさまざまな手段で感染を広げてきた。出会い系サイトの登録完了メールを装うStormワームの手口というのは以下の通りだ。

「Membership Support」などの件名で、出会い系サイトの登録完了メールに見せかけたメッセージを送り、そのスパムメール本文には、セキュリティのためにログインIDとパスワードを変更するよう促すメッセージとURLが書かれてており、このURLにアクセスすると、不正コードに感染した「Secure Login Applet」をインストールするよう指示するページが表示される。インストールするとウィルスに完全に感染するし、インストールしなくても、Storm自体が、ユーザーがこのページを開いたときに自動的に感染を試みようとする。

 今回も「YouTubeを装う」点以外はこれまでのStormワームと同様という。しかし、問題なのは出会い系やエロサイトっぽいスパムメールは最初から迷惑メールフォルダに入ってくれたり、ぱっと見て、あ、スパムメールと分るからよいが、YouTubeとなると、筆者もYouTubeをよく使うし、登録もしてあるから、YouTubeからのメールだ!と思うとぼやっとしてる時なんかうっかり「ここをクリック」してしまうかも知れない。

架空請求詐欺

 アメリカのスパムメール詐欺師の足元には及ばないが、それでも未だに架空請求業者は儲け続けている。その手口は旧態依然としたアダルトサイトの使用料、云々のようだ。

 ところで今、全米レコード協会(RIAA)が個人の、WinnyやMX、Rimewireみたいなファイル交換ソフトを使って音楽をダウンロードしたユーザーに対して、損害賠償を繰り広げる事態が話題になっている。アメリカの協会が日本の個人までターゲットにしてくる可能性はまずないだろう。しかし、先ごろもファイル交換ユーザーに22万ドルの損害賠償命令が下されるニュースがあった。この訴訟は全米レコード協会(RIAA)が個人ユーザー相手に訴訟して、初めて審理に至ったものだそうだ。何で初めてかというと、ここがミソなのだが、被告となった多くのファイル交換ユーザーは審理に入る前に「和解」しているらしいのだ。

 これは、架空請求が流行り出した頃の偽弁護士の手口、弁護士のふりして「債権を買い取ったりしまして…裁判沙汰にしようと思ってるんですが、貴方が和解したいというなら和解も可能です」と電話し、詐欺口座に振り込ますタイプに似ている。

 アメリカの全米レコード協会は実在のしっかりした団体である。(個人に訴訟なんて…器は小さいが)しかし、日本の架空請求業者はネタは何でもよく、著作権問題は日本でも大々的に話題になっているし、もうそろそろアダルトサイト話じゃ、一般人はうんともすんとも言わなくなってきているだろう。架空請求の詐欺話のネタとして使われるんじゃないかな?近々にアメリカのスパムメール軍団によって(クレジット詐欺は無理でも)大量に取得されたとりあえずの日本人の偽・YouTubeに引っかかっちゃた人のメールアドレスが、流れてくるだろう。そんなメールアドレスに対し、…頭の弱い架空請求業者だからスパム攻撃などできないが、著作権団体やら何やらになりすましたメールを発信することはツールがあればできる。

 架空請求メールを発信するのは凄く簡単であるし、受け取った方も見慣れた「アダルトサイト使用料」だったらスパムメールか!って分るだろうけど、WinnyやMXなんかを利用したそれに損害賠償?ってなると、ちょっと信用しちゃったりするんじゃないだろうか?また、アダルトサイトは利用してないけど、ファイル交換ソフトでハードコアなエロ動画をダウンロードしちゃったりしたとする。スパムのプロ達はこの手のメルアドゲットなんかももうしてるだろう。

 それが、架空請求業者に流れて「倫理的に問題だ、これはダウンロードした人も逮捕されるんだ!」とか、ちんぷんかんぷんな電話がかかってきたとしても、アダルトサイト利用料金よりはリアリティあるし、とりあえずは後ろめたいからびびって金払っちゃう人出てくるんじゃないかな?恥ずかしいから、泣き寝入りして届け出ないだろうし。

 おりしも昨日、携帯電話のアダルトサイトを利用した架空請求詐欺事件で、詐欺などの罪に問われている主犯格の男に対し、検察側は5日、懲役12年を求刑した。詐欺の罪に問われているのは東京都新宿区の元債権回収業・鈴木達也被告で起訴状によると、鈴木被告はグループの主犯格として振り込め詐欺やら架空請求詐欺やらを行い、携帯のアダルトサイトの利用者6人から架空の名目で料金を請求し331万円を騙し取ったとされている。論告求刑公判で検察側は「組織的に繰り返し行われ、月に平均で一億円を騙し取るなど犯行は極めて重大。被告には反省の気持ちが全くない」とした。しかし、未だ他人名義のプリペ携帯など詐欺アイテムはどかどか買えるし、詐欺のネタはテレビをつけてればマスコミがわんさか提供してくれる。これから先、架空請求ももっと巧妙化していくことは間違いないだろう。
LINK
ENTRY(latest 5)
CATEGORY
ARCHIVES
COMMENT
  • 未上場株未公開株で失敗した方(騙された方)、泣き寝入りする前に、一度敬天にご相談下さい。
    天誅 (06/06)
  • 松村テクノロジー未公開株詐欺被害者さま
    吉田 (09/01)
  • 松村テクノロジー未公開株詐欺被害者さま
    庭芝 (06/17)
  • 松村テクノロジー未公開株詐欺被害者さま
    庭芝 (06/17)
  • 松村テクノロジー未公開株詐欺被害者さま
    愛信 (05/14)
  • 松村テクノロジー未公開株詐欺被害者さま
    (04/28)
  • 松村テクノロジー未公開株詐欺被害者さま
    凛 (04/19)
  • 松村テクノロジー未公開株詐欺被害者さま
    大淵 (04/02)
  • 松村テクノロジー未公開株詐欺被害者さま
    大淵 (03/29)
  • 松村テクノロジー未公開株詐欺被害者さま
    大淵 (03/28)
CALENDAR
SMTWTFS
      1
2345678
9101112131415
16171819202122
23242526272829
3031     
<< July 2017 >>