トレンドマイクロは、同社のセキュリティブログにて、東北地方太平洋沖地震に便乗した不正プログラム添付メールが確認されたことを発表した。

メールの件名、本文は日本語で書かれており、「地震」、「津波」、「原発」、「節電」、「家族安否」といった文字が含まれているという。現在確認されている添付ファイルの拡張子は、「exe」「scr」「doc」「xls」。メールの送信者を関連団体や同じ組織の所属員に偽装している事例も検出されている。

また、今回の攻撃の中にはAdobe製品の脆弱性を悪用した事例もあるという。具体的な攻撃の流れは以下のとおり。

  1. 「津波」などの文字が含まれるExcelファイルが添付されたメールを受信
  2. ファイル(「TROJ_ADOBF.B」)を開封すると、「TROJ_DROPPER.ADO」が作成される
  3. 「TROJ_DROPPER.ADO」はさらに「BKDR_COSMU.KO」を作成
  4. 「BKDR_COSMU.KO」は外部のサーバに、ユーザの PC の OS情報やファイル、ディレクトリのリスト、稼働中のプロセスのリストなどを送付
  5. 「BKDR_COSMU.KO」はバックドアの機能を備えており、外部サーバとの通信により、感染したPCを不正に遠隔操作する可能性も

Adobe製品の脆弱性を悪用した攻撃の流れ

トレンドマイクロでは、「攻撃者の意図は明らかではありませんが、感染したPCから何らかの情報を不正に入手しようとしていると考えられます」とコメント。こうした攻撃への対策として、「メールの送信元を確認し、不審な場合は開封しない」、「添付ファイルも不審な点がある場合は開かず、周囲に相談する」の2点をいつも以上に徹底するよう呼びかけている。