添付ファイルが HTML 形式のスパムにご注意


By アンドリュー・ブラント / Andrew Brandt

パム メールに関しては、いくつかのセオリーがあります。本文中のリンクや電話番号は無視する、スパム送信者から商品を購入しない、添付ファイルを開かない、などです。今では、実行可能形式の添付ファイルは開かないのが常識ですし、スパム フィルターでは .exe ファイルはすべて疑わしいものとして扱われるようになっています。スパム送信者が実行可能ファイルを .zip ファイルに格納して送り付ける事例が増えたときも、我々はきわめて迅速に把握しました。

しかし HTML は実行可能ファイルではありません。単なるプレーン テキストです。だから、添付ファイルが HTML なら開いても安全だろう――そう思う人がいるかもしれませんが、大きな誤りです。そのいい例が、 我々のスパム メール収集用アドレスに先週届いたこの醜悪なメールです。

メールの件名には「お客様の口座からの送金のお知らせ」とあります。本文には、送金を深夜に完了できるとのご親切な説明があり、送金額は 28,126 ドルとなっています。これを読むと、何者かが私の銀行口座から、テレビの深夜番組司会者の Jimmy Fallon 宛てにこの額を送金したのでなければよいが、という気になります。本文にはさらに、支払いの明細を添付した、との説明があり、その言葉どおり Copies of the payment.htm という添付ファイルが付いています。

しかしこのファイルを開くと、落とし穴にはまります。

結果として、 3 つのマルウェアがインストールされてしまいます。パスワードを盗むフィッシング トロイの Zbot が 2 つと、起動のためのリモート アクセス バック ドアです。Zbot は、銀行口座アカウントのログイン情報など、機密性の高い認証情報を盗み出す性質を持ちます。そう考えると、このスパム メールの件名は、結果としては正しいと思います。まさに「口座からの送金」が行われるからです。ただし送金先は想定外ですが。

この添付ファイルを詳しく見てみると、わかりにくくするための若干の細工を加えた JavaScript コードが記述されています。このファイルをブラウザーで表示すると、コードの命令によって、DreamLifeAsia という Web サイトのページがブラウザーに読み込まれます。名前はポルノ サイト風ですが、実はそうではないのが驚きです。このページには、1 ピクセル四方のインライン フレームを raceobject.ru という Web サイトのページからブラウザーに読み込む命令が記述されています。

この raceobject.ru のページには、さらに別の problemdollars.ru という Web サイトからブラウザーにペイロードをダウンロードおよび実行させるスクリプトが記述されています。これらの “品行方正” な Web サイトはロシアで登録されたもので、偶然か必然か、どちらも同じサーバーでホストされており、IP アドレスも同じです。

このような連鎖式のからくりを用意した敵は、天才気取りでコードを読みにくくする細工を施しています。たとえば、次のコードを見てください。一見しただけでは、どのような処理を行うのかわからないかもしれません。文字化けのように見えるはずです。

ところが、赤い枠で囲んだ部分の中身を 1 文字おきに取り出して、目障りな文字列連結もなくすと、次のようになります。

こうして、敵のお見事な細工を見破ることができました。これは、「それぞれの文字の間にランダムな文字を挿入する」という暗号化アルゴリズムです。発明されたのは太古の昔。5 歳の女の子が授業中に、アラム語の文章を書いた石板を友達に渡すときに、先生に内容を読まれないように工夫したのがきっかけです。当時との大きな違いは、i の文字の点の部分がハートになっていないことです。RSA と Bruce Schneier がハートを取り払ってしまいました。この連中は見るからにエリートです。

最後にこのページは、脆弱なブラウザーを使って、感染先のコンピューターにバックドアをダウンロードさせます。このバックドアは Zbot を取得します。Zbot は、司令塔のサーバーにアクセスし、命令が入ったデータ ファイルを取得して、感染したコンピューターのハード ドライブに自らのコピーを作成します。

さらにこのバックドアは、IE のすべてのセキュリティ ゾーン設定を変更し、クッキーをクリアします。また、Windows ファイアウォールの設定を変更して、Windows エクスプローラー (IE ではない) がインターネット上の誰からでもデータを受け取れるようにします。他にもセキュリティ設定を修正し、被害者が感染の度合いを強めるおそれは大きく高まります。

結局のところ、受け取った添付ファイルの種類は関係ありません。スパム メールに添付されたものをブラウザーで開くのはご法度です。どう見ても、このメールは単なる食わせ物です。Jimmy Fallon が欲しいのは、我々のお金ではなく、視聴率の数字です。それはさすがに Zbot では盗み出せません。
wordpress blog stats