写真提供:マイナビニュース

写真拡大

あの手この手でユーザーのクリックを誘う詐欺メール。上司を装ったり、業界界隈の専門用語を織り交ぜたりと巧みに誘う。ポータルサイトや銀行など広範なユーザーを持つサービスの管理者を装いパスワード変更を訴える。本名を知らないのにあたかも本人を知るかのような文面がほとんだ。だが、英国では3月末、多くのインターネットユーザーに自分の名前と住所が入った詐欺メールが送信されるという事態が起こったという。英国セキュリティベンダSophosが運営するnaked securityに詳細が掲載されている。

サンプルのメールは次のような文章。「ごきげんよう、XXX(名前)! 突然失礼しますが、重要なことをお伝えします。私のことを知らないと思いますが、私はあなたの個人情報をたくさん持っています。恐らくは誤操作により、あなたの口座に関する情報が私にメールで送られてきたのです。例えば、あなたの住所はYYY(住所)。私は合法的な市民です。そこで、これは個人情報がハッキングされたのだと判断しました。私が受け取ったファイル『ZZZ.dot』を添付します。これを見れば、どんなデータが漏洩したのかがわかるでしょう。パスワードは『3776』です。敬具(名前)」

ところどころに不自然な文法と脅威を帯びたメールだが、文頭には名前が、ファイル名には苗字が使われており、しかも住所は実際の住所で郵便番号まで正確なもの。不自然で一目で怪しいと思える文面だが、掲載されているの情報が本人と一致する。たしかに突然、このようなメールが届くと動揺してしまうのも頷ける。思わず開封するユーザーもいるそうだ。

添付ファイルを開封すると、Wordがパスワード入力を求める。詐欺者がメールで指示する通りだ。パスワードはユーザーごとにランダムに設定されており、電子メールに書かれているパスワードを入力しないと開かないが、この段階で、詐欺者はドキュメントを開くためにマクロを有効にするよう求める。マクロを有効にするということは、ファイルに保存されているプログラムコードを動かすことになる。

「コンテンツを有効にする」をクリックすると、悪意あるVBAプログラムの実行を許可することになり、ハッキングされたWebサーバー上でホスティングされている2種類のWebページに繋がり、GIFファイルに見せかけたものをダウンロードするという。このGIFファイルには、有効なヘッダーデータ10バイト分、256バイトの復号化キー、XORでスクランブルされたバイナリデータ約0.5MBが含まれており、複合化キーを繰り返し表示する。

SophosLabで攻撃をテストしたところ、ダウンロードされたマルウェアはボットまたはコマンド&コントロール(C&C)ネットワークに繋がりさらなる攻撃の指示を受けられるゾンビのためのマルウェアのTroj/Agent-AURHだったとしている。頻繁に起こる情報漏洩事故。個人の氏名とメールアドレス、住所の膨大な情報がアンダーグラウンドで取引された結果、詐欺者の手に渡った可能性が高い。英国では企業の多くが収集した情報を標準的なアルゴリズムで処理し、郵便局が指定したフォーマットを生成するように住所データを作成しているため、どこから漏えいしたのかを突き止めるのは、いっそう難しい状況だという。

執筆者のPaul Ducklin氏は以下のような心がけを改めて呼びかけている。

・知らない人からの電子メールに添付されているファイルは開封しないこと。

ドキュメントが請求書、配送に関するものなどだったり、脅す文言が含まれていても、開封しないように。

・重要なセキュリティ設定を無効にしないように。

例えば、「マクロを無効にする」といったセキュリティ設定はオフにしない。詐欺者は様々な方法で設定を変更させようと仕掛けてくる。「コンテンツを有効にする」などという仕掛けは、まるで安全性が確保されているかのように思いがちが、Microsoftは数年前からWordのマクロをデフォルトで無効にしている。これはセキュリティ改善を目的としたものなので、これをオンにすることはセキュリティを弱くすることになる。

・どうすれば良いか分からないなら、誰かにきく

家族、友人など信頼できる人に聞こう。間違っても、送り主に返信しないこと。そして、友達や家族から聞かれたら、”買わない、試さない、返信しない”と答えよう。

・サイバー犯罪キャンペーンではなく、ストーカーなどあなただけをターゲットにしていると感じるのなら、安全を懸念すべきだ。すぐに警察に相談しよう。

(長岡弥太郎)