会計ソフトウェアQuickBooks を販売する Intuit 社を装った電子メールが流行

2月 07, 2012 Sophos Press Release

※この記事は本社サイト「Naked Security」掲載の記事を翻訳したものです※

by Chester Wisniewski on February 7, 2012

多くの国が確定申告の時期を迎える中、詐欺師はそれにつけ込んでユーザーを税金関連の悪意のあるリンクに誘導しようとしています。

SophosLabs は以前から、会計ソフトウェア QuickBooks を販売する Intuit 社を装った電子メールを多数確認しています。

このような電子メールは、かなり以前からソフォスのスパム対策製品によって検出・ブロックされていますが、非常に本物らしくできているため、一部のお客様からは「誤検出ではないか」というお問い合わせをいただいています。

Intuit 社からのメールを装ったスパム

このスパムは次のような内容です。

**************************************************
お客様各位

お客様のシステム上の情報が正確な状態に保たれていることを確認するため、またお客様へのサービスを一層向上させるために、INTUIT 社では IRS (内国歳入庁) の Name and TIN Matching Program (氏名・納税者番号照合プログラム) に参加することになりました。

何らかの理由で、お客様が入力された氏名と納税者番号が、IRS から提供されたものと異なっています。

つきましては、下記リンクをクリックして、お客様のアカウント情報の確認・訂正をお願いいたします。

敬具
INTUIT INC.

本社所在地
2632 Marine Way
Mountain View, CA 94043

**************************************************

Intuit 社は、自社のセキュリティセンター警告を掲載し、フィッシング詐欺である可能性が高いと顧客に注意を促しましたが、残念ながら、これはフィッシング詐欺よりも悪質なものです。

この電子メールに含まれているリンクをクリックしてしまったユーザーは、Black Hole Exploit Kit に感染しているサイトの JavaScript を含んだ Web ページへとリダイレクトされます。

※Black Hole Exploit Kit・・・ドライブバイダウンロード攻撃ツール。クライアントPCにウイルスを感染させるために、多数のクライアントアプリケーションの脆弱性を攻撃する機能を持っている。

Blackhole による JS へのリダイレクト

ソフォスのエンドポイント製品のお客様の場合、Black Hole Exploit Kit の リダイレクトは Mal/JSRedir-H として検出されるため保護されます。また、エンドポイント Web フィルタリングを実行していれば、悪意のある URL は Mal/HTMLGen-A として検出されるため、アクセスはブロックされます。

ソフォスのウイルス対策ソフトによってブロックされた Blackhole

ユーザーが実行しているブラウザおよびプラグインによっては、Black Hole Exploit Kit はブラウザまたはプラグインの脆弱性を悪用し、悪意のあるペイロード (多くの場合、スケアウェアと呼ばれる偽のウイルス対策ソフト) を配布する場合があります。

Black Hole Exploit Kitの詳細については、2012 年版ソフォス セキュリティ脅威レポートをダウンロードしたり、Paul Ducklin と筆者が Black Hole Exploit Kitを解説するポッドキャストをお聴きください。


(3 February 2012, duration 14:13 minutes, size 13.7 MBytes)