件名は「CNN.com Daily Top 10」
[注!8/8 17時ころから以下の件名に変わっているそうです]
「CNN Alerts: My Custom Alert」
送信者名は「Daily Top 10」
[件名・送信者名・ファイル名や手口は今後も変わる可能性があります]
このメールが来た場合
・一番は、「触らず削除する」
・HTML形式で危険度が増すので、テキストモードのみにしておき、HTMLでは開かない
・「最新のFLASHPLAYERをインストールしろ」と表示されるが、これに同意し、インストールすると感染するので、絶対に同意してはダメ
です。
最近このメールを開いて誘導先でフラッシュプレイヤーをインストールした覚えのある方は至急定義を最新にしたセキュリティソフト・あるいはオンラインスキャン等を用いてチェックしてください。
詳細は
●「ウイルスをFlash Playerに見せかける」、偽のCNNニュースに注意:ITpro
あたりでどうぞ。
現在確認されているウィルス実態のファイル名は
「geto_flash_update.exe」
だそうです。
さらに詳しくは各自お使いのセキュリティソフトのベンダーのデータベース等でご確認ください。
これが悪質な点は、実際にCNNの「DAILY TOP10」という登録サービスが存在する点で、日本人では少ないと思われるが、海外で同サービスに登録している場合にコロッとやられてしまう可能性が高い。
問題はHTMLメールとして表示させた場合。メール中のニュースタイトルをクリックすると、攻撃者が用意したWebサイトに誘導される。
誘導されたWebページでは、本物のサイトからコピーしたと思われる「CNN Video」のロゴと、メディアプレーヤーの再生画面のようなインターフェースが表示される。そしてその直後、「Flash Player:Incorrect version」というダイアログが表示(図2)。ニュース映像を見るには新しいFlash Playerが必要だとして、ダイアログの「Ok」を押して、最新のFlash Playerをインストールするよう促す。
指示通り「Ok」をクリックすると、「geto_flash_update.exe」という実行形式ファイル(プログラム)がダウンロードされそうになる。これがウイルスの実体。インストール(実行)すると感染し、パソコンの情報を盗まれたり、パソコンを乗っ取られたりする恐れがある。
編集部で調べたところ、誘導先のWebサイトは複数存在する模様。既に閉鎖されているサイトがあるものの、一部については現時点(2008年8月 7日正午)でも稼働している。「Daily Top 10」に登録していないユーザーは、「Daily Top 10」のメールが送られてきても相手にしないように。「Daily Top 10」の登録ユーザーのついては、クリックする前に、飛び先のURLが「http://www.cnn.com/video/」で始まっていることを確認することが重要だ。
実はこの記事、いつもお世話になっている末期ぃさんのSPAM追及ブログで知ったもので、ちょっと今回はご紹介するかどうか迷ったのだけれども、
・壁紙が変わる
・感染した場合に自らがBOTとなってSPAMをばらまく
という挙動を取ることを検証していただいている貴重なエントリだと思うのでご紹介をば。
・CNN.com Daily Top 10〜金井優子さんからの手紙
SPAMの脅威は、いつも気持の隙間を突いてやってくるもの。私も不覚にも垢ハックウィルスを踏んだかも?となった時にはとても悔しく思いました。
心よりお見舞い申し上げます。
[補足]
管理人はぷららプロバイダを利用しています。メールフィルタサービスがあるのですが、現在のところこのCNNを騙るSPAMはこのフィルタを通り抜けていているようですので、ぷららご利用の方はご注意ください。
転んでただ起きるのは悔しいので、エントリしましたがお役に立てたでしょうか。
なおつい先ほど17:00過ぎからは「CNN Alerts: My Custom Alert」と題したスパムに変わっております。読者の皆様もご注意願います。
実は私も、「やけに堅気くさいSPAMだけど量が多いから」と思い気にはなってたんですよね。触ってはいませんでしたが…とても参考になりました。
件名の変更についても情報ありがとうございます。本分にも反映させました。対応が早いタイプのようで、今後も気を抜けないですね。いっそう注意したいと思います。
誘導先を訪れるとウィルス(video.exeなどというファイル名)を仕込んでくるスパム(時事問題やアダルト動画等を題材にしたもの)は6月はじめからあり、手を替え品を替え送付されて来ていましたが、
先日しばらくぶりにニュースレターを象ったものが来て、見に行ったら引っかかりました。
"Spyware detected on your computer"の壁紙を見たときは「やられた!ワロタ」でした。
がG-mailが
「ウイルスみたいだからサーバーに放置してるよ。
欲しけりゃ自分で取ってきな(意訳)」
と言ってるので、そのままほったらかしにしてました。
くわばら、くわばら。
ちょっと前までは、ウィルスは「メールに添付」「URLで踏ませる」の2種類でしたが、これはその複合型の代表格みたいなものですね。「もっともらしい件名と送信者名」がミソですなあ。
CNNが注意を促してるのを利用して「Alert」と変えてくるあたり、こう言っちゃ何ですがある意味きめ細かいですね。いつもありがとうございます。
>>とおりすがりさん
コメントありがとうございます。
G-mailはきっちり隔離してくれるのですね〜
フィルタリング機能によって被害に遭う人が少しでも減るのは何よりです。過信はできませんし、サービスによっては必要なものも隔離してしまうこともありますが、その辺はヒューマンチェックで対応していくしかないですしね。
あまりにしつこいCNN〜のメールに辟易してググったところ、
貴サイトにて詳細な情報がわかり感謝しています。
当方でも記事としてUpしまし、
TBさせていただきました。
今回のは本当に手が込んでいてとんでもないですね!
「金井優子さんからの手紙」サイトのご紹介も含め、大変参考になりました。
ありがとうございました。
なんか怪しいのでさっくりSPAMホルダ行きでした。
抹殺しておかないと。
はじめまして、コメントありがとうございます。
当方も末期ぃさんの「金子優子さんからの手紙」の記事を見て慌てて紹介した次第で、何もかも末期ぃさんのおかげでございます。お役に立てたのでしたら何よりです。
本件とは関係ありませんが、箱根は一度は行ってみたい憧れの地なので、ついついウットリしながらブログの過去ログを拝見させていただいたりしました。リンク紹介&トラックバックありがとうございました。
>>風さん
CNNに登録した覚えも何もなかったし、複数来ていた(おそらく感染した人からのBOT投稿も含まれていたのでしょう)ので無視しましたが、普段英文ニュースをよくご覧になる方(特に「alert」と件名についた方)には危険度の高いSPAMですねー。笑えないSPAMは要らないです…