寄稿: Sean Butler
サッカーワールドカップ開催の年が始まった今、この世界的イベントに関連するキャンペーンが急増するのは当然のことでしょう。ワールドカップをめぐる興奮と熱狂を当て込んで、マーケティングや販促のキャンペーンが盛んになるものと予想されます。正規のマーケティングメールや販促メールに混じって、無料チケットを約束するメールや、コンテストや宝くじで新車が当選したと謳うメッセージが届くかもしれません。
嘘みたいなうまい話ですが、嘘みたいだという部分だけは的を射ています。
詐欺師は、今年の 6 月にブラジルで開催される FIFA ワールドカップに伴う熱狂を悪用しようと待ち構えています。万一にも詐欺に引っかかってしまうと、深刻な事態に陥りかねません。詐欺の被害者として銀行口座を空っぽにされてしまうだけでなく、コンピュータにマルウェアを仕掛けられてしまう恐れもあります。このマルウェアは、トロイの木馬をダウンロードしてユーザーの個人情報を盗み出す可能性もあれば、さらにはコンピュータに侵入してボットネットに組み込む機能まで備えているかもしれません。
シマンテックはすでに、FIFA ワールドカップに関連する詐欺メールをいくつか確認しています。シマンテックが発見した最初のサンプルは、FIFA ワールドカップを餌にしてマルウェアへのリンクを含む電子メールです。
この電子メールのヘッダーは以下のとおりです。
差出人: Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@<ドメイン名>.com
件名: Copa do Mundo FIFA 2014
このヘッダーを翻訳すると次のようになります。
差出人: Congratulation you were the winner of a pair of tickets(ペアチケットの当選おめでとうございます) atendimento.promo5885631@<ドメイン名>.com
差出人: FIFA World Cup 2014(2014 FIFA ワールドカップ)
図 1. FIFA ワールドカップに関連するマルウェア攻撃メール
この電子メールを翻訳すると以下のような文面になります。
You are the winner of a pair of tickets to the FIFA World cup 2014 Brazil!(2014 FIFA ワールドカップブラジル大会のペアチケットが当選しました!)
Print your e-Ticket copy and collect the ticket from the ticket center in your city(電子チケットを印刷して、お近くのチケットセンターでチケットをお受け取りください)
Print Ticket(チケットを印刷)
Check out the address of the ticket center in your city here(お近くのチケットセンターの住所確認はこちら)
このメールを受信したユーザーは、リンクをクリックして試合のチケットを印刷するよう促されます。ところが、このリンク先は eTicket.rar というファイルをダウンロードする悪質な URL になっていて、このファイルに eTicket.exe という名前の実行可能ファイルが圧縮されています。
図 2. リンクをクリックすると悪質なファイルがダウンロードされる
次に、thanks.exe という名前のファイル(Infostealer.Bancos)が以下の場所に投下され、Windows を起動するたびに実行されます。
Programs/Startup/thanks.exe
このトロイの木馬はバックグラウンドで動作を続けながら、セキュリティ対策をすり抜け、金融口座などの個人情報を盗み出してログに記録し、後でリモートの攻撃者にそのデータを送信します。このマルウェアは、ブラジルの金融機関を標的にするようにカスタマイズされていることも確認されました。
電子メール内で参照されているすべての Web ページについてウイルスなどの脅威がないかどうかを確認するシマンテックの「リンク追跡」技術によって、URL の最後に含まれるマルウェアが正しく識別されるので、シマンテック製品をお使いのお客様は、この攻撃からすでに保護されています。次に検出定義が作成され、異なる URL だが同じマルウェアにつながる別のリンクを含む電子メールが今後見つかった場合には、感染しているのと同じように扱って検疫処理されます。
別の詐欺では、CIELO Brazil の偽広告が利用されています。CIELO 社は、ブラジルでクレジットカードとデビットカードを扱っている企業です。
図 3. 2014 FIFA ワールドカップに関連するフィッシングメール
この電子メールを翻訳すると以下のような文面になります。
Congratulations, you have been chosen to take part in the Cielo Cup 2014.(おめでとうございます。2014年 シエロカップの参加資格に当選しました)
To promote World Cup 2014, you must register to compete for prizes worth 20 thousand Reais,(2014 ワールドカップを宣伝するために、20,000 レアル相当の抽選に登録してください)
Tickets, accommodation in exclusive places during the 2014 world cup and you could also win a Fiat Doblo 0 Km. (Sic)(チケットと、2014 ワールドカップ開催期間中の豪華宿泊券のほか、さらに走行距離 0 km のフィアットドブロが当たるかも(原文ママ))
Don’t waste time! PURCHASE Register right now at no extra cost and avail the benefits of our promotion.(さあ、今すぐお買い上げを! 今すぐ登録すれば、追加のご負担なくこの広告の特典をご利用いただけます)
Join this Mega Promotion and compete for these Super Prizes.(このメガ特典に参加して、特別プレゼントを手に入れよう)
Click here to unlock your promo code(プロモーションコードの申請はこちらをクリック)
[Click Here](ここをクリック)ボタンをクリックすると、ユーザーは以下のリンクにリダイレクトされます。
http://cielobrasil2014l.fulba.com/[削除済み]/BR.FIFA=2,0,1,4/f&ulec0&id/sele,ca.o&id=br/home.html
リダイレクト先の Web ページでは、ユーザー名、生年月日、ブラジルの納税者番号(CPF)を入力するよう求められます。
図 4.偽装された Web ページで個人情報を要求される
要求どおりに情報を入力すると、今度は図 5 のようなページにリダイレクトされ、銀行口座情報が要求されます。
図 5.偽装された Web ページで銀行口座情報を要求される
さらに詳しく調べたところ、このフィッシング詐欺で使われている conteudo.casavilaverde.com というドメインは、ハッキングされたものであることが判明しました。
図 6. ハッキングされてフィッシング詐欺に使われているドメイン
最後に挙げる 3 つ目のサンプルは、ナイジェリア詐欺です。
図 7. FIFA ワールドカップを餌にした詐欺メール
この電子メールには、大手ブランドが協賛する宝くじと称するファイルが添付されています。最終的にユーザーの個人情報が要求される点は変わりません。また、この電子メールは正規の内容であると見せかけようとしていますが、これまでに紹介した他のサンプルに比べると、いかにも素人然としています。メール本文には画像も URL なく、Word 文書が添付されているだけというところが、誰の目から見ても疑わしい作りです。
シマンテックの高度な監視システムでこれらの詐欺メールは識別されているため、お客様に届くことはありません。
最初の 2 つのサンプルはポルトガル語が書かれ、ブラジル在住のユーザーが標的になっていましたが、カスタマイズして別の国や地域、他の言語に変更するのはごく簡単です。世界的なサッカー人気を考えれば、この手のスパムメールに多くのユーザーが引っ掛かってしまう可能性はあるかもしれません。
世界的なイベントは、興味や関心を持つ人々の数が多いことから潜在的な被害者数も多くなるため、詐欺師にとっては大きな稼ぎのチャンスです。そのため、こうした詐欺は 2014 ワールドカップが近づくほど増えてくるものとシマンテックは予測しています。
今後も詐欺メールには十分に警戒し、以下の基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。
- 迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
- 迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
- 迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
- セキュリティソフトウェアを常に最新の状態に保つ。
- スパム対策シグネチャを定期的に更新する。
シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。
詐欺師の手口に騙されないように、嘘のようなうまい話の場合は特にご注意ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。