［世界］
クリスマス・メッセージを装ったマルウェアが今年も出現

電子メッセージ・カード・サービスを詐称してPCにボットを仕込む

（2008年12月25日）

　今年も、セキュリティ研究者らが、クリスマスの祝賀メッセージなどを装って広がるマルウェアへの注意を呼びかけている。昨年末以降大きな問題となっているトロイの木馬「Storm」の手口を真似たものと見られている。

　ベトナムにあるハノイ工科大学Bach Khoa Internetwork Security Centerの研究者は、「XmasStorm」と名付けた新種のマルウェアが、クリスマスなどにかこつけたスパム・メールを通じて広がりつつあるとの警告を12月14日に出した。

　このスパム・メッセージは、「Merry Xmas!」「Merry Christmas card for you!」などの件名が付けられており、電子クリスマス・カード・サービスなどを行っているとされるWebサイトへのリンクが含まれている。しかしこのサイトには、アクセスしたPCをハイジャックするマルウェアが仕込まれており、対策が不十分なPCにボットをインストールして、攻撃者の制御下に置こうと待ちかまえている。

　Back Khoaアプリケーション・セキュリティ・グループの責任者グエン・ミン・ドゥク（Nguyen Minh Duc）氏によると、XmasStormは元々中国で開発されたものだという。先月から攻撃者たちは、「superchristmasday.com」や「funnychristmasguide.com」など、このマルウェアに関係する75以上のドメイン名でサイトを登録しているという。ドメイン名登録情報検索サービス（WHOIS）で調べたところ、これらのドメインは、それぞれ12月1日と19日に中国内のアドレスに登録されたことが判明した。

　Nguyen氏は、「これまでもクリスマスや新年などの特別な時期には、正規の電子カードを装って悪意のあるコードを仕込み、ウイルスを散布する攻撃が行われていた。この時期は、知らない相手から送られてきた電子メールは受け取らない（閲覧しない）ようにしたほうがよい」と述べている。

ESET LLCのセキュリティ・ブログ（ESET Threat Blog）で電子メッセージ・カードを装ったスパム／マルウェアを警告している

　米国サンディエゴに支社のあるスロバキアのセキュリティ会社ESET LLCの研究者も、同じような攻撃の事例を報告している。ESETの研究者ピエールマーク・ビューロー（Pierre-Marc Bureau）氏は12月22日、「ecard.exe」というファイルをホスティングしているWebサイトに誘導しようとするスパム・メールが急増しているという警告を出した。（Nuwar Back to Electronic Cards｜ESET Threat Blog）

　Bureau氏は、「この攻撃に注目しているのは、昨年行われたStromワームの攻撃パターンと酷似しているためだ」と説明している。

　Stormは、2007年から2008年にかけさまざまな目的で使用され、新年の挨拶にかこつけたスパム・キャンペーンに便乗する形で広がった。その直前、Stormの開発者は、ユーザーを騙してクリスマスに関係するポルノ写真へのリンクをクリックさせようとしていた。

　ただしBureau氏は、「Stormボットネットがよみがえったわけではない。バイナリを分析したところ、今回のマルウェアはStormと異なっていた。使用されたプログラミング言語も機能も、Stormとは異なる」と指摘している。

　今年、Microsoftの研究者は、同社のMalicious Software Removal Tool（MSRT：悪意のあるソフトウェアの削除ツール）がStormを打ち破ったと説明していた。この点についてBureau氏は、「今目にしている状況は、マルウェアの開発者が過去の失敗や成功から学んでいるということを裏付けるものだ。昨年Stormは、クリスマスに便乗した詐欺手法を駆使して数千台のシステムに感染することに成功したが、これを見たほかの犯罪者たちが手口を真似ようとしているのだろう」と語っている。

(Gregg Keizer／Computerworld米国版)