IPAは、毎月発表するコンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、3月11日に発生した東日本大震災に便乗した罠メールについて、注意喚起を行っている。
罠メールの3つのタイプ
震災発生直後からも、このような攻撃は確認されているが、大きく分類すると、以下の3つに分類される。
デマ(混乱)
震災直後からも確認された手口である。チェーンメールと呼ばれ、メールには「多くの人に伝えたいので転送してほしい」といった内容が付加されている。内容は、原発・放射線関連情報や節電の呼びかけ、寄付・募金や救援物資に関するもので、一見するとそれらしく見える。しかし、その多くが誤った情報であり、例え正しくとも迷惑メール行為となる。さらに、受信者の不安感をいたずらに煽り、風評被害の一因ともなる。
詐欺
義援金詐欺メールが該当する。義援金などを募るのであるが、実態は善意の義援金を騙し取ることにある。メール内のリンクから、不正なWebサイトに誘導される。フィッシング詐欺と同じ手口である。
ウイルス感染
災害情報に見せかけ、ウイルス感染を目的としたものである。これまでも、不審なメールや添付ファイルは開かないといった対応をするようにとしてきた。しかし、このような状況では、その注意力も低下しやすい。件名には例えば次のようなものが使われる。
- 被災者の皆様、とくにお子さんをお持ちの被災者の皆様へ
- 被ばくに対する防護対策について
- 全国へ計画停電のお知らせについて
- 福島原発最新状況
- 放射線被ばくに関する基礎知識 第1報.doc、第2報.doc
- mSv(ミリシーベルト)で示した図解.doc
- 放射能が関東の人間に与える影響.doc
- 福島原発.doc
- 3月30日放射線量の状況.doc避難場所一覧表.xls
- 安定ヨウ素剤の服用量及び服用方法.xls
いずれも、何とかメールを読ませ、添付ファイルを開かせようとしている。次で、具体例を紹介しよう。
ウイルスメールの具体例
まず第一の特徴は、もっともらしい日本語が使われている点である、送信元も実存する組織名が使われている。添付ファイルも「安定ヨウ素剤の服用量及び服用方法.xls」とこの状況でいかにも開いてみたくなる名前をつけている。添付ファイルには、ウイルスMdropperが検出された。このウイルスは、データファイル内に仕込まれるので、拡張子は本物と同じであり、見た目では区別がしにくい(図1)。
Mdropperは、WordやExcelの脆弱性を悪用し、さらに別のウイルスをダウンロードする。IPAによれば、ダウンロードされるウイルスは、感染時期により異なるので、被害の想定はできないとのことである。図2は、本文が何も書かれていないウイルスメールである。
何も書かれていないことで、逆に添付ファイルの内容を確認したくなる心理を突いている、とのことだ。また、IPA以外にも、「東日本大震災 関連メール情報」(迷惑メール相談センター)などで、具体例を紹介しているので、参考にしてほしい。
ウイルスメールへの対策
このような状況であっても、できる限りの対策を行うべきである。IPAでは、以下をあげている。
- 簡単にメールは開かない・クリックしない
- 脆弱性の解消
- ウイルス対策ソフトによる防御
- 復旧のための対策(システムの復元、初期化)
攻撃者の手口は災害情報を悪用し、状況によっては騙されやすい。注意力だけでは防ぎきれないことが考えられる。十分注意し、対策をしっかりとしてほしい。特に、ウイルス対策ソフトではウイルスの検知・除去だけでなく、不正なWebサイトを事前にブロックする機能などを使い、義援金詐欺などに遭わないようにしたい。最後の復旧のための対策は、万が一、ウイルスに感染した場合に有効な手段となる。あわせてバックアップなどもしておくことで、効果的であろう。
最後に、IPAからは、復旧・復興支援活動をされている方々へのお願いとして、以下をあげている。支援物資として送られる中古のPCは、最近は稼働していなかったものが多いであろう。そのようなPCは、最近の脆弱性が解消されていないため、Webページ閲覧やメールをする際にウイルス感染の被害に遭う可能性が高い。被災地で稼働させる前に、OSやアプリケーションソフトを最新の状態に更新してほしいとのことだ。また、Windows 98 / Me / 2000といったOSはマイクロソフトによるサポートがすでに終了している。脆弱性の解消を行うことができないため、これらのOSを搭載したPCを被災地に送ることも避けてほしいとのことである。