ITmedia NEWS >

ウイルス付きの「偽MS月例パッチ」出回る

» 2005年05月20日 14時23分 公開
[Ryan Naraine,eWEEK]
eWEEK

 夜の後に昼が来るように、Microsoftの月例パッチの日の後には、悪質なおまけが付いた偽の「累積アップデート」がやって来る。

 毎月の恒例行事になってしまったが、ウイルス作者はMicrosoftのパッチ発行サイクルへの注目が高まっていることを利用して、ユーザーをだまして不正な添付ファイルを実行させようとしている。

 この最新のソーシャルエンジニアリングの策略は、2005年5月の「累積パッチ」を装った添付ファイルの付いた電子メールによって送られてくる。

 このメールは、添付の実行可能ファイルにはInternet Explorer(IE)、Microsoft Outlook、Outlook Expressの脆弱性のパッチが含まれていると称している。これら3つの製品は広く使われており、これまでに深刻なセキュリティバグが発見されている。

 このファイルは実際にはW32.Pinfiの亜種の実行可能ファイルだ。これはメモリに常駐する自己変異型ウイルスで、マッピングされているドライブおよびネットワーク共有を介して自身を複製できる。

 Pinfiウイルスは「Pate」「Parite」とも呼ばれ、すべてのドライブおよびネットワーク共有上の全PEファイルとSCRファイルに感染するようプログラムされている。

 このウイルスはWindows 95/98/NT/2000/XP/Meのユーザーをターゲットとする。

 「よくあるだましの手口だ」とMicrosoftの担当者は5月19日に語った。「Microsoftはセキュリティ通知メールにソフトアップデートを添付しないことを顧客に思い出させるのが重要だ」

 この担当者は、ほとんどのMicrosoftのソフトアップデートは、Microsoft Windows Update、Microsoft Office Update、あるいはMicrosoft Download Centerを介して提供されると指摘、ベストプラクティスとして、「ユーザーは常に、知っている相手からでも知らない相手からでも一方的に送られてきた添付ファイルを開く際には、用心しすぎるくらいに気をつけるようにするべきだ」と付け加えた。

 こうした詐欺は月に1回発生しているため、Microsoftは顧客に本物のセキュリティメッセージを見分けるための手引き書を提供している。

 「How to Tell If a Microsoft Security-Related Message Is Genuine」と題されたこの文書には、次のようなアドバイスが記されている。

  • Microsoftがセキュリティアップデートやセキュリティインシデントの情報をMicrosoft.comドメイン上で公開する前に、これらに関する通知を送ることは決してない。

    セキュリティ通知メールの信頼性に疑いを持った場合は、Microsoft.comのセキュリティサイトにその情報が掲載されているかを確認すること。

  • 電子メールが本物ではないのではないかと思ったら、メールに含まれるハイパーリンクをクリックしてはいけない。そのリンクは偽装されたもので、実際にはユーザーを不正なサイトに送り込むのに、信頼できるWebサイトに誘導するかのように見せかけている可能性がある。電子メールに含まれるリンクをブラウザのアドレスバーにカット&ペーストするか、できれば自分でそのサイトのアドレスを入力すること。

  • Microsoftやたいていの商用Webサイトは、オンライン取引の安全を確保するシステムの一環として証明書を使っている。標準的な「http://」ではなく「https://」をWebサイトアドレスに入力すると証明書が機能する。セキュアなサイトにアクセスしたら、IEで証明書をチェックできる。ブラウザ下部のステータスバーの鍵アイコンをダブルクリックすると、そのサイトのセキュリティ証明書が表示される。

  • Microsoftからのセキュリティ通知に登録していないのに、突然セキュリティアップデートに関するメッセージを受け取ったら、そのメッセージを慎重に扱うべきだ。疑わしいと思ったらそのメッセージを削除して、すぐにMicrosoft.comに同じ情報が載っているかどうかを確認すること。

 アンチウイルスベンダーSophosは、PE実行可能ファイルを駆除するための手順を提供している。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.