寄稿: Binny Kuriakose
シマンテックは最近、Heartbleed 脆弱性に便乗したフィッシングメールを確認しました。このフィッシング攻撃は、米軍関係の保険サービスを装って Heartbleed 脆弱性に関するメッセージを送信し、情報を収集しようとします。
Heartbleed は最近発見されたセキュリティ脆弱性で、OpenSSL のバージョン1.0.1 から 1.0.1f に影響します。この脆弱性は OpenSSL 1.0.1g で修正済みです。脆弱性の詳細や対処方法については、シマンテックのセキュリティアドバイザリーを参照してください。
スパマーやフィッシング攻撃者は、最新のニュースや話題を利用してペイロードを偽装します。フィッシングメールでは多くの場合、セキュリティに関する懸念につけ込んで、ソーシャルエンジニアリングの手口を本物らしく見せようとします。電子メールに仕込まれたペイロードによって、受信者が機密情報を漏らすように仕向けるのです。
今回の場合、次のような電子メールが送られてきます。
図 1. Heartbleed 脆弱性に便乗したフィッシングメール
この例には、興味深い特徴がいくつかあります。
- X-Mailer ヘッダーを見ると、送信者が使っている電子メールクライアントが非常に古いもの(Microsoft Outlook Express 6.00.2600.0000)だと分かります。多くのユーザーが依然として古い電子メールクライアントを使っていますが、最新のオンラインビジネスでそのような電子メールクライアントを使ってセキュリティに関する通知を送信することはほぼありません。
- 「has initiate」という文法上の誤りがあります。攻撃者は、最新の話題をいち早く悪用して新しいフィッシング攻撃を実行しようと焦るため、文法の間違いを犯しがちです。また、送信者の母国語が英語ではないことも珍しくありません。
- さらに、このフィッシングメールは有名な米軍関係の保険サービスからのセキュリティ警告と称しているにもかかわらず、掲載されている「ログイン」リンクをクリックすると、実際には危殆化したトルコの製造業社のサイトにアクセスします。
以上は、フィッシングメールの判断基準のすべてではありませんが、フィッシング攻撃にありがちな間違いや矛盾を示しています。
Heartbleed に関するアドバイザリーで詳しく説明しているように、個人情報の提供や更新を要求する電子メールには警戒するようにしてください。また、そのようなメッセージに含まれるパスワードリセットやソフトウェア更新のリンクは、決してクリックしないでください。個人情報の更新や変更が必要な場合は、該当する Web サイトに直接アクセスして実行することをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。