G DATAは、先週末よりUPSの名を騙るウイルス添付メールが世界的に拡散していると発表した。実際のメールは、英文で書かれているが、日本でも知名度があり利用頻度が高いため、つい信用してしまうこともありえる。このメールには、圧縮された添付ファイルがあり、解凍・実行しないようにと注意を喚起している。
UPSを騙るメール
国際貨物運送会社の大手、UPSを騙る英文メールの内容は、未届けの荷物の受け取りに関して、添付ファイルを開封し印字するようにという内容のものである(図1)。
 |
図1 偽のUPSからのメール |
実際の文面は以下の通りである。
件名: Tracking Number [11文字のランダムな数字]
差出人: United Postal Services [ランダムな名前]
本文:
Unfortunaly we couldn't carry you the postal parcel sent on 28, October at the right time as there is an incorrect recipient's address.
To take your package back you should print the copy of invoice that is in the added file
[ランダムな名前]
Manager UPS
添付ファイルは、UPS_letterN314617.zipとなっている。このファイルを解凍すると、拡張子が「UPS_letterN314617.doc」とあたかもMicrosoft Wordの文書ファイルであるかのようなファイルが現れる。アイコンも偽装されており、Wordの文書ファイルに見える。しかし実際は、「UPS_letterN314617.doc」のあとに80文字分の空白があり、本当の拡張子は「.exe」になっているのだ。文書ファイルと思い、ダブルクリックすると、それだけで、マルウェアが実行される。このマルウェアは、ロシアのサーバー(http://fu[省略]ly.ru/load2/ld.php)から、さらにマルウェアをダウンロードする「ダウンローダ」と呼ばれるウイルスである。このマルウェアに感染すると、以下のレジストリキーに変更が加えられる。
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
防御策は、身に覚えのない、もしくはこのようなメールを受け取った場合、すみやかに削除を行うことだ。特に、添付ファイルについては、不用意に解凍・実行するとマルウェアに感染してしまう可能性もあり、さらなる注意をしてほしい。ウイルス対策ソフトのスキャンによっても、警告が出る場合が考えられる。警告が出たら、隔離もしくは削除を行うことである。
G DATAでは、年末に向けてウイルス添付メールが激増の恐れがあると警告している。特に最近は、ZIP形式の添付ファイルが多い。航空券などを騙るメールなども報告されている。くれぐれも注意を怠らないことである。
