スパムがばらまく新たなトロイの木馬に警報

Outlookの脆弱性を悪用する新たな攻撃に、セキュリティ企業が警告を発した。スパムに含まれるリンクをクリックすると、トロイの木馬をダウンロードさせるサイトに誘導される。（IDG）

[IDG Japan]

　複数のウイルス対策・電子メールセキュリティ企業が7月13日、新たなトロイの木馬プログラムに関して警告を発した。このプログラムは、スパムを利用してインターネット上で大量配布されているという。

　「Backdoor-CGT」と呼ばれるこのプログラムは、MicrosoftのOutlookを使っているユーザーが電子メールを受信し、メッセージ内に埋め込まれているWebリンクにアクセスするとインストールされる、新たな形態のトロイの木馬だ。ウイルス対策ソフトと最新版Outlookがあれば影響は受けないが、13日朝に登場して以来、Backdoor-CGTはインターネット上の数千台のシステムに感染したと考えられていると、英MessageLabsの上級ウイルス対策研究者マクシム・シプカ氏は語る。

　MessageLabsでは13日朝、2時間のうちにBackdoor-CGTへのリンクを含んだメールを3600通以上受信した。この種のプログラムに通常見られる量の10倍以上という、類のない大量のスパム送信だと同氏。トロイの木馬プログラムは、遠隔地の攻撃者によるコンピュータへのアクセスや乗っ取りを可能にする。また、たいていはユーザーに気付かれずに動作するか、合法的なソフトの振りをする。

　Backdoor-CGTは「多段式」攻撃により被害者のコンピュータに不正コードを植え付ける。スパムメール内のリンクをクリックした後、被害者は一連のWebサイトに誘導される。これらサイトはそれぞれ攻撃を1段階ずつ実行する。この攻撃は、既にパッチが発行されているOutlookの「IFRAME」の脆弱性を悪用して、ユーザーからWebサイトのリダイレクトを隠し、密かにBackdoor-CGTをダウンロードしてインストールするとシプカ氏は説明する。

　Backdoor-CGTはインストールされると、無作為に通信ポートを選んで開き、感染したシステムにバックドアを作る。このバックドアは、攻撃を仕掛けた犯人が管理していると思われるインターネット上のサーバと通信するのに使われる。シプカ氏によると、攻撃に使われているWebサイトは、チェコ共和国のある個人の名義で.bizドメインで登録されたもので、トラフィックの殺到で低速化しているものの、13日の時点ではまだオンライン上にあるという。

　McAfeeも13日、この新たなトロイの木馬（「SS」とも呼ばれる）に関するアドバイザリを発行したが、危険度は「低」と評価し、ホームユーザー・企業ユーザーに大きな脅威をもたらすものではないとしている。

　ほかのウイルス対策企業にもBackdoor-CGTに関する情報を求めたが、まだ返答は得られていない。ほかの企業がこの問題を認識しているのか、これら企業のウイルス対策ソフトがこのプログラムを検出できるのかどうかは不明だ。

　だがシプカ氏によると、Backdoor-CGTをダウンロード・インストールできるようにするため、攻撃者は先に「ドロッパー」と呼ばれるプログラムの一般的なバージョンを埋め込もうとする。ウイルス対策ソフトはドロッパーを検出できるので、感染は阻止されるという。

　Outlookユーザーには、感染防止のため最新パッチを当てるよう勧めていると同氏は話す。

　McAfeeは13日にBackdoor-CGTを検出するためのアップデートをリリースしたと、同社のアドバイザリには記されている。