地震・原発・節電の文字含むマルウェア、日本語メールで出回る
東日本大震災に便乗し、メールの添付ファイルで不正プログラムが届く事例が複数確認されている。すでにAdobe製品の未修正の脆弱性を悪用した攻撃も行われている、とトレンドマイクロが注意喚起した。
地震発生後、複数の法人より、「地震」「津波」「原発」「節電」「家族安否」といった文字が含まれるファイルがメールで送られてきたという報告が届いているという。
ファイルの拡張子は「exe」「scr」「doc」「xls」。メールの件名、本文は日本語で書かれており、メールの送信者を関連団体や同じ組織の所属員に偽装している事例も確認されている。
攻撃の流れ |
また、こうした不正プログラムにより、Adobe製品の未修正の脆弱性(米Adobeが14日に公表)を悪用した攻撃も確認された。
攻撃の流れは、メールで届いた「津波」などの文字を含んだExcelファイルを開くと、「TROJ_DROPPER.ADO」「BKDR_COSMU.KO」などが作成され、PCのOS情報やファイル、ディレクトリのリスト、稼働中プロセスのリストなどが外部サーバーへ送信される。また、「BKDR_COSMU.KO」はバックドアの機能も備えており、PCを不正に遠隔操作する可能性もあるという。
トレンドマイクロでは「攻撃者の意図は明らかではないが、感染したPCから何らかの情報を不正に入手しようとしていると考えられる」とし、震災に関する多くの情報がメールでやりとりされているが、いつも以上に「メールの送信元を確認し不審な場合は開封しない」「添付ファイルも不用意に開かず周囲に相談する」といったことを心がけるよう呼びかけている。
なお、この攻撃で悪用されてるAdobe製品の脆弱性に対する修正パッチの配信予定は3月21日(一部は6月になる見込み)で、いわゆる「ゼロデイ攻撃」の状態にあるという。