Marshal8e6のTRACElabsの研究者は、偽の「Conficker感染警告」を送るスパムキャンペーンを傍受した。ユーザーはこのスパムのリンクをクリックすると、偽のセキュリティソフトウェアのページにリダイレクトされる。
今回のイベントを利用したソーシャルエンジニアリングキャンペーンでは、もっともらしさを高めるため、さまざまなMicrosoftの部署を偽装している。起こることが予想されていたトラフィックを乗っ取ろうとする試みは、ここ数週間では2回目になる。前回のものは4月第1週に起こっており、これは正規のConficker削除ツールのドメインを偽った偽のドメインを使ったキャンペーンだった。
スパムのメッセージ、件名、スパムキャンペーンで使われている偽セキュリティソフトウェアのドメインは以下のようなものだ。
“Dear Microsoft Customer,
Starting 04/01/2009 the ‘Conficker’ worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.
To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
Please visit the Windows Computer Safety Center by simply clicking here to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
Regards,
Microsoft Windows Agent #2 (Hollis)
Microsoft Windows Computer Safety Division
Email Ref Code: RANDOM NUMBER”
典型的なメッセージには、「Infection Alert」「Conficker Infection Alert」「Microsoft Alert」「Security Breach」などのキーワードが含まれており、antivirus-av-ms-check .com、antivirus-av-ms-checker .com、ms-anti-vir-scan .com、mega-antiviral-ms .com.といったリンクをクリックすることで、スケアウェアのドメインにリダイレクトされる。
このような、イベントを利用したスケアウェア・マルウェア・スパム配布キャンペーンでは、最初は主要なニュースポータルサイトから取り上げられた特定のテーマを扱っていたが、最近では、特定のオンライン動画共有サービスで検索の上位を占めるため、流行しているキーワードをリアルタイムで利用することまでしている。皮肉なことに、最初のConfickerは、少なくともアフィリエイトネットワークが隠蔽フェーズに入るまでの期間は、偽セキュリティソフトウェアを使ってそのプロセスで収入を得ることによって、感染したホストから直接的に収益を得ることを狙っていた。その後、Confickerには新しい亜種が導入され、作者につながる可能性のあるようなノイズを出さなくなった。
Confickerの模倣やスケアウェアの配布以外にも、4月9日に、最新のConfickerの亜種が新しいペイロードを導入していることが明らかになっている。現在TrendMicroがそのペイロードの本当の目的を調査している。この変更は今後数週間で姿を現してくると思われ、その後Confickerの作者はボットネットを分割するか、直接的にサイバー犯罪を手助けするマネージドサービスの提供を始めることによって、収益化を始めるだろう。
TrendMicroの評価で、証明されたことが1点ある。サイバー犯罪のエコシステムは、巨大なボットネット運用グループにさえ、お互いを避けるには小さすぎるということだ。WORM_DOWNAD.Eで行われた変更では、有名なWaledacボットネットで利用されているドメインから別の暗号化されたファイルをダウンロードしようとする機能が加わっている。Waledacボットネットは、以前のStorm Wormボットネットとインフラを共有していることでも知られている。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
-
ブックマーク(-)
- トラックバック(0)
- 印刷
-
- 暗号化
- ボットネット
- プロセス
- 感染
- ホスト
- ノイズ
- ペイロード
- ドメイン
- スパム
- リンク
- リダイレクト
- Microsoft
- トラフィック
- 偽
- WORM_DOWNAD.E
- Waledacボットネット
- サイバー犯罪
- エコシステム
- ボットネット運用グループ
- 隠蔽フェーズ
- 直接的
- 亜種
- 作者
- 模倣
- mega-antiviral-ms .com
- スケアウェア
- オンライン動画共有サービス
- リアルタイム
- 皮肉
- アフィリエイトネットワーク
- Microsoft Windows Computer Safety Divisi
- Infection Alert
- Conficker Infection Alert
- Microsoft Alert
- Security Breach
- キーワード
- antivirus-av-ms-check .com
- antivirus-av-ms-checker .com
- ms-anti-vir-scan .com
- 2回目
- Conficker削除ツール
- スパムのメッセージ
- 件名
- Conficker感染警告
- Conficker
- スパムキャンペーン
- Microsoft Windows Agent #2 (Hollis)
- 偽のセキュリティソフトウェア
- ソーシャルエンジニアリングキャンペーン
- 部署
- 偽装
- Marshal8e6
- TRACElabs
- 研究者
関連情報
-
Confickerワームを模倣したNeerisがIM経由で広まる
Confickerワームの伝播手法を模倣した、Neerisの新亜種が広まっていることが確認された。Neerisは元々MSNメッセンジャーを通じて拡散するマルウェアだが、この新亜種はConfickerワームの手法を取り込んでいる。 - Confickerの感染を調べる方法と感染地図
- マイクロソフトがConficker対策、作者に関する情報に25万ドルの賞金
- 世界で350万のホストがConfickerワームに感染
「セキュリティ」 の新着情報
-
「iPhone」と「iPod touch」を狙う危険なワームが出現
「iPhone」を標的とする新たなワームが登場した。前回見つかったものに比べ、個人情報の盗難など深刻な被害を招くおそれがあ... - マイクロソフト、「IE」のCSS処理に関する脆弱性を調査中と発表
- Firefoxのセキュリティを向上させる--お勧めアドオン10選
- マイクロソフトがGoogle Chrome Frameにセキュリティホールを発見
- OSSTech、OpenLDAPを製品パッケージ化--性能向上で商用版からの置き換え狙う
- セキュリティ 一覧へ »
「Zero Day」 のバックナンバー
-
マイクロソフトがGoogle Chrome Frameにセキュリティホールを発見
Internet Explorerのプラグイン、Google Chrome Frameにセキュリティホールが発見された。パッチは公開済みで、自動的にアップデートされる。 -
モジラがFirefox 3.6で悪質アドオン対策を実装
-
Windows 7の脆弱性に対する攻撃コードが公開される
-
アップルはなぜWindowsのAutoRunに干渉しようとするのか
-
Safariに7件の脆弱性を修正するパッチ
- Zero Day 一覧へ »
-
POSデータを活用し、売上アップを導く「分析力」とは?
- 日本モバイルインターネット端末市場分析 〜2008〜2012年のMID及びスマートフォン...
- コスト削減に寄与するMDM(マスターデータマネジメント)
- HP LeftHandが仮想化環境の構築の効率を向上させた3社の事例集
- ストレージ問題の課題に対する解決方法
- iPhoneをビジネスで活用する時代へ〜ビジネス&モバイルのミライ〜
- Active Directoryの課題に関する調査結果と対処方法
- HP LeftHand SAN のパフォーマンス評価
- 【Logistics Solution】物流を視点とした経営改革と 差別化を加速する物流ソリュ...
- 進化する日本モバイルSNS市場分析〜有無線インターネット・SNS市場規模予測〜
企画特集
-
企業ITシステムの企画、構築、運用のイロハ
戦略的なITシステムのために、今考えるべきポイント -
高まるiSCSIストレージへの注目度
ストレージシステムの4つの課題とiSCSI導入のメリット -
電力に"ふた"をする独自の省エネ機能とは!?
動的に電力割り当ても可能なHPの最新鋭ブレードに迫る -
100万円で実現!中小企業の情報漏えい対策
中小企業の課題!?セキュリティ管理者不在でも大丈夫 -
―エン・ジャパン厳選求人☆毎週更新―
ハンゲームの社長が語る・人材とサービスの在り方 -
大丈夫?あなたの会社のセキュリティ対策
中堅・中小企業のネットワーク・セキュリティを考える -
マネジメントの「コラム」と「コネタ」
今日のキーパーソンは誰? -
グリー、3人のエンジニアが語る仕事への想い
連載第2話、元SIerに聞くリニューアルと開発の舞台裏 -
【最終警告】パンデミック対策特集
サービス品質を保証するためのリスクマネジメントとは -
VMware OEMベンダー6社を独占インタビュー
IBM、HP、NEC、DELL、日立、富士通のVMwareの取り組み -
急増するオンライン犯罪への解決策!
オンラインサービス保護ソリューション -
容量制限によるメール消去は一切無し!
全てを保存するメールセキュリティSaaSが登場 -
J-SOX法制定により内部統制の整備が急務に
重要性高まるActive Directoryの課題と対処法を公開中
ZDNet Japan イベント
- 開催日:2009年11月26日(木)
- イベント一覧へ»
Intel Video Series
-
7. ホットスポットと同時並列性分析について
この3分間のビデオは、Intel Parallel Studioの一部であり、アプリケー... -
8. Valarray
この5分間のビデオでは、Intelコンパイラの1次元Valarrayデータ構造に対...
新着企業動向
-
ウイングアークと日本オラクルが協業開始 オラクルの中堅企業向けアプリケーションとウイン...
ウイングアーク テクノロジーズ -
ネット系のセミナーでは絶対に語られない!明日から使えるPR術。
コンテクスト -
【EMC Mail News】シスコ、EMC、VMwareの3社が新しい連合組織「Virtual Computing Environme...
EMCジャパン -
WisePointシリーズ
ファルコンシステムコンサルティング - 企業動向一覧へ»
