2014 年 3 月 7 日以降、情報を盗み出す目的のマルウェアが添付された新しいスパム攻撃が確認されています。スパムメールは、通常、多数のユーザーに送信されるものですが、今回の攻撃は、日本のオンラインショッピングサイトの管理者に狙いを絞っているようです。
攻撃者が今回のように特定のユーザーを標的にする理由はさまざまです。多くのオンラインストアは、Web サイト上で連絡先の情報が公開されており、サイトをクロールして電子メールアドレスを簡単に収集できるので、容易に標的として狙うことができます。企業のアカウント情報を入手して、ストアで管理されているデータを盗み出す目的とも考えられます。あるいは、ショッピングサイトに侵入し、ストアへの訪問者に対してさらに攻撃を仕掛けようとしているのかもしれません。
Infostealer.Ayufosとして検出されるこのマルウェアは、情報を盗み出すトロイの木馬としては基本的なものですが、攻撃者が狙っているデータをほぼ何でも盗み出すように作成されており、以下のような機能を持っています。
- スクリーンショットを取得する
- キーストロークを記録する
- クリップボードのデータを取得する
- 複数のアプリケーションのアカウント情報を盗み出す
- ある電子メールアカウント宛てに、取得した情報を SMTP で送信する
ただし、詐欺の手法としてはあまり手が込んでおらず、電子メールにはごく短い数行の文と添付ファイルがあるだけです。実行可能ファイルが添付されているという事実を隠そうともしていません。典型的なスパム攻撃の場合、攻撃者は実行可能ファイルを画像ファイルなどに偽装して、正規の電子メールを装うものです。今回の攻撃を仕掛けた攻撃者は、ごく一部のコンピュータに侵入することだけを狙っていたか、あるいは騙されやすいユーザーがあちこちにいると期待したに違いありません。
図 1. スパムメールのサンプル。届いた商品が破損していたと主張して交換を求めている
Infostealer.Ayufos の初期のサンプルは昨年の 12 月に特定されていますが、それ以降に確認されている亜種はほんの少しです。日本のオンラインストアを狙う亜種だけでなく、英語圏のストアを標的とするものもあります。
図 2.添付したソフトウェアの確認を求めるスパムメッセージの例
図 3.英語圏のストアを標的にしたスパムメッセージの例
スパムを使ってオンラインストアを狙う攻撃は毎日のように見つかるわけではありませんが、今回の攻撃が例外ということでもありません。サイバー犯罪者は常に進化し、狙った相手の油断につけ込もうと戦略を練り続けています。今回の攻撃者が、再度ユーザーを狙うことはほぼ間違いありません。オンラインストアを運営している場合は、不明な送信者からの迷惑メールの取り扱いに注意してください。また、国や地域にかかわらず、基本的なセキュリティ対策(ベストプラクティス)に従うようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。