ニュース

2007年7月10日

「ウイルスを検出しました！」、偽の警告で脅かすウイルスメール

勝村　幸博＝日経パソコン

Tweet

（執筆時の情報に基づいており、現在では異なる場合があります）

悪質メールの文面例（米ウェブセンスの情報から引用）

画像のクリックで拡大表示

　米国やオーストラリアのセキュリティベンダーや組織は2007年7月9日（現地時間）、ウイルスを修正プログラム（パッチ）に見せかけてインストールさせようとする悪質なメールが出回っているとして注意を呼びかけた。メール中のリンクをクリックすると、ウイルスが置かれたWebサイトに誘導されて、ウイルスを勝手にインストールされる恐れがある。

　セキュリティ組織の米SANS InstituteやオーストラリアAusCERT、セキュリティベンダーの米ウェブセンスなどによると、今回警告したメールは英語で記述されている。メールの件名はさまざま。例えば、以下のような件名が確認されている。

Virus Detected!（ウイルスを検出！）
Spyware Detected!（スパイウエアを検出！）
Trojan Alert!（トロイの木馬警告！）
Worm Alert!（ワーム警告！）
Worm Activity Detected!（ワームの活動を検出！）

　メールの本文には、英語で次のような内容が記述されている（図）。「あなたのIPアドレスからのメール送信において異常を検出しました。最近流行しているウイルス（ワーム）に感染しているためだと考えられます。そのウイルスの感染を防ぐ公式パッチは、現在では存在しません。（このリンクをクリックして）このパッチをインストールしてウイルスを駆除し、異常なメール送信を止めてください。さもないと、あなたのアカウントを停止します」

　メールに書かれているリンク先のWebサイトには、Webブラウザー（Internet Explorer）などの既知のぜい弱性を悪用する仕掛けが施されている。このため、修正パッチをインストールしていないパソコンでアクセスすると、そのサイトに置かれたウイルスを勝手にインストールされてしまう。

　ぜい弱性がないパソコンでアクセスした場合でも、Webサイトに「15秒たっても（パッチの）ダウンロードが始まらなかったら、ここをクリックしてダウンロードしてください」といった内容を記述しておいて、パッチに見せかけたウイルス（ファイル名はpatch.exe）をユーザーにダウンロードおよびインストールさせようとする。ウイルスをインストールすると、パソコンを乗っ取られる恐れがある。

　ベンダーや組織によると、今回の悪質メールを送信しているのは、2007年7月4日ごろにグリーティングカード（e-Card）の受信通知メールに見せかけた悪質メールを送信していたグループと同じであるという。基本的な手口は同じで、メールの内容だけを変えている。

　メールで誘導されるWebサイト（ウイルスをインストールさせるWebサイト）は多数存在するため、すべてを閉鎖させるのは困難。ウェブセンスによれば、グリーティングカードの受信通知メールに見せかけた手口では、250以上のWebサイトが確認されたという。今回の手口については、AusCERTによれば現時点で50サイト以上あり、今後も増えるとみている。