IEの未修正の脆弱性を狙うスパムメールが流通

小包の配達不能通知や医療保険の申し込み確認通知を装ったメールに悪質サイトへのリンクが記載されていた。

[ITmedia]

　MicrosoftのInternet Explorer（IE）6と7に未修正の深刻な脆弱性が見つかった問題に関連して、セキュリティ企業の英Sophosは3月10日のブログで、この脆弱性の悪用を狙ったスパムメールが見つかったと伝えた。

　同社のブログによると、Sophosはこの脆弱性の悪用コードが仕込まれたURLをチェックしている過程で、週の初めに出回っていた複数のスパムのリンクに気付いたという。3月8日に見つかったスパムは、よくあるソーシャルエンジニアリングの手口でユーザーをだまして悪質サイトを閲覧させようとする内容だった。

　メールはいずれも英文で、1通は小包の配達不能通知を装って「届け先の住所を確認してください」と促し、リンクをクリックさせようとする手口。もう1通は、「医療保険の申し込みを受け付け、料金を受け取りました。ご質問があればカスタマーサービスにご連絡ください」としてリンクを記載する手口。いずれのケースでも、リンクをクリックするとマルウェア感染ページへ誘導される。

Sophosが発見したスパムメール

　これまでに確認された脆弱性悪用コードやマルウェアのコードはウイルス対策ソフトで検出できるようになっているが、Sophosは今後もこの脆弱性の悪用を狙った新手の攻撃に目を光らせるとし、ユーザー側もMicrosoftの勧めに従ってIEをセキュリティ関連機能が豊富なIE 8にアップグレードするよう促している。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら