[eWEEK]
ウイルス付きの「偽MS月例パッチ」出回る

Ryan Naraine
2005/5/21

マイクロソフトが月例パッチを発行した後に、同社のパッチを装ったウイルスを送りつけるメールが出回ることが毎月の恒例行事になってしまっている。

 夜の後に昼が来るように、マイクロソフトの月例パッチの日の後には、悪質なおまけが付いた偽の「累積アップデート」がやって来る。

 毎月の恒例行事になってしまったが、ウイルス作者はマイクロソフトのパッチ発行サイクルへの注目が高まっていることを利用して、ユーザーをだまして不正な添付ファイルを実行させようとしている。

 この最新のソーシャルエンジニアリングの策略は、2005年5月の「累積パッチ」を装った電子メールによって送られてくる。

 このメールに添付された実行可能ファイルには、Internet Explorer(IE)、Microsoft Outlook、Outlook Expressの脆弱性のパッチが含まれていると称している。これら3つの製品は広く使われており、これまでに深刻なセキュリティバグが発見されている。

 実際にはこのファイルはW32.Pinfiの亜種の実行可能ファイルだ。これはメモリに常駐する自己変異型ウイルスで、マッピングされているドライブおよびネットワーク共有を介して自身を複製できる。

 Pinfiウイルスは「Pate」「Parite」とも呼ばれ、すべてのドライブおよびネットワーク共有上の全PEファイルとSCRファイルに感染するようプログラムされている。

 このウイルスはWindows 95/98/NT/2000/XP/Meのユーザーをターゲットとする。

 「よくあるだましの手口だ」とマイクロソフトの担当者は5月19日に語った。「マイクロソフトはセキュリティ通知メールにソフトアップデートを添付しないことを顧客に思い出させるのが重要だ」

 この担当者は、ほとんどのマイクロソフトのソフトアップデートは、Microsoft Windows Update、Microsoft Office Update、あるいはMicrosoft Download Centerを介して提供されると指摘、ベストプラクティスとして、「ユーザーは常に、知っている相手からでも知らない相手からでも一方的に送られてきた添付ファイルを開く際には、用心しすぎるくらいに気をつけるようにするべきだ」と付け加えた。

 こうした詐欺は月に1回発生しているため、マイクロソフトは顧客に本物のセキュリティメッセージを見分けるための手引き書を提供している。

 「How to Tell If a Microsoft Security-Related Message Is Genuine」と題されたこの文書には、次のようなアドバイスが記されている。

 マイクロソフトがセキュリティアップデートやセキュリティインシデントの情報をMicrosoft.comドメイン上で公開する前に、これらに関する通知を送ることは決してない。

 セキュリティ通知メールの信頼性に疑いを持った場合は、Microsoft.comのセキュリティサイトにその情報が掲載されているかを確認すること。

 電子メールが本物ではないのではないかと思ったら、メールに含まれるハイパーリンクをクリックしてはいけない。そのリンクは偽装されたもので、実際にはユーザーを不正なサイトに送り込むのに、信頼できるWebサイトに誘導するかのように見せかけている可能性がある。電子メールに含まれるリンクをブラウザのアドレスバーにカット&ペーストするか、できれば自分でそのサイトのアドレスを入力すること。

 マイクロソフトやたいていの商用Webサイトは、オンライン取引の安全を確保するシステムの一環として証明書を使っている。標準的な「http://」ではなく「https://」をWebサイトアドレスに入力すると証明書が機能する。セキュアなサイトにアクセスしたら、IEで証明書をチェックできる。ブラウザ下部のステータスバーの鍵アイコンをダブルクリックすると、そのサイトのセキュリティ証明書が表示される。

 マイクロソフトからのセキュリティ通知に登録していないのに、突然セキュリティアップデートに関するメッセージを受け取ったら、そのメッセージを慎重に扱うべきだ。疑わしいと思ったらそのメッセージを削除して、すぐにMicrosoft.comに同じ情報が載っているかどうかを確認すること。

 アンチウイルスベンダのソフォスは、PE実行可能ファイルを駆除するための手順を提供している。

[英文記事]
Fake マイクロソフト Patch Triggers Virus Attack

[関連記事]
価格.comが不正侵入で閉鎖、高度技術の組織犯に狙われる (@ITNews)
トレンドマイクロ社長が謝罪、「もう一度チャンスを下さい」 (@ITNews)
【技術解説】トレンドマイクロは何を誤ったのか (@ITNews)
ウイルスバスター原因でシステムダウン、月曜朝は注意を (@ITNews)

Copyright(c) eWEEK USA 2002, All rights reserved.

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -