この攻撃の背景

トレンドマイクロのエンジニアは、2010年5月下旬、Unicode制御記号の1つである「right-to-left override (RLO)」という手法が用いられたスパムメールを確認しています。RLOは、Unicodeを用いるOSにおいて、RLO以降の文字列を逆順(右から左へ)に表示させることができます。このRLOは、かつてのスパムメールで使用されていた古い手法ですが、最近のソーシャルエンジニアリングの手口として利用されているようです。

この脅威は、どのようにしてコンピュータに侵入しますか?

この脅威は、圧縮ファイル(拡張子RAR)が添付されたスパムメールとしてコンピュータに侵入します。添付の圧縮ファイルを解凍すると、Microsoft Excel文書ファイルに見えるファイルが表示されます。しかし、このファイルは、実際、「TROJ_SASFIS.HBC」として検出されるスクリーンセーバファイルです。「TROJ_SASFIS.HBC」は、「BKDR_SASFIS.AC」として検出されるファイルを作成します。この「BKDR_SASFIS.AC」は、正規のプロセス、 "svchost.exe" にリモートスレッドを組み込み、システムのプロセスに常駐します。

この脅威は、どのような攻撃をユーザに仕掛けますか?

ユーザが圧縮ファイルを解凍すると、「TROJ_SASFIS.HBC」として検出されるファイルが感染コンピュータ上にインストールされます。この「TROJ_SASFIS.HBC」として検出されるファイルは、 "(phone&mail).[U 202e}rcs.xls" というファイル名のMicrosoft Excel文書ファイルに見えます。

しかし、このファイル名には、Unicode制御記号の1つである、「right-to-left override (RLO)」という手法が用いられており、漢字での表記部分を除いた本来のファイル名は、 "(phone&mail).[U 202e}slx.scr" となります。RLOは、Unicodeを用いるOSにおいて、RLO以降の文字列を逆順(右から左へ)に表示させることができます。

この手法により、実行形式スクリーンセーバファイルをExcel文書ファイルのように見せることができます。そのため、ユーザは、見せ掛けのExcel文書ファイルを開いても大丈夫だと思ってしまうのです。

この脅威は、どのような影響をユーザに与えますか?

「TROJ_SASFIS.HBC」は、「right-to-left override (RLO)」という手法の悪用により、本来のファイル名を巧妙に隠蔽し、XLSファイルやTXTファイル等、無害に見える正規ファイルを装うことが可能となります。

例えば、不正プログラムのファイル名を「I-LOVE-YOU-XOX[U 2020e]TXT.EXE」とした場合、「U 2020e」という制御記号が「この記号の後に連なる文字列を右から左に連なるように逆順表示させる」という指示になります。こうして、ファイル名は、見かけ上は「I-LOVE-YOU-XOXEXE.TXT」と表示されるようになります。

こうしたRLOの手法により、ユーザは、不正なファイルを正規のファイルだと思い、「TROJ_SASFIS.HBC」を実行してしまいます。その結果、ユーザのコンピュータは、「TROJ_SASFIS.HBC」に感染するだけでなく、「BKDR_SASFIS.AC」にも感染することとなります。

サイバー犯罪者がこの攻撃を仕掛けた動機はなんですか?

サイバー犯罪者たちは、特に、有力ボットネット「Zeus」や「BREDOLAB」に関連する不正プログラムの感染活動に加担させる目的で、「SASFIS」を作成したようです。いわゆるアフィリエイトプログラムの一環として、アンダーグラウンドのさまざまな組織をパートナーとし、「ユーザをだまして利益をあげる」という彼らの不正活動を「支援」するのです。

そのため、「SASFIS」の亜種が新たな手口を利用し感染活動を行うことにより、犠牲となるユーザ数もさらに増加していくこととなります。

この攻撃の特記すべき点はなんですか?

2010年初め、ソーシャル・ネットワーキング・サイト「Facebook」を装ったスパムメールを介して侵入してくる「SASFIS」の亜種が確認され、SASFISの悪名がさらに高まることとなりました。今回の新たなスパム攻撃では、サイバー犯罪者は、「right-to-left override (RLO)」という手法を用い、ユーザが不正なファイルを開いてしまうよう仕掛けています。大抵のユーザは、Excel文書ファイルの拡張子「.XLS」のような見慣れた拡張子を見ると、そのファイルは安全だと思い、開いてしまう傾向にあるからです。

この脅威を感染コンピュータから取り除くにはどうすればいいのですか?

感染コンピュータからの「TROJ_SASFIS.HBC」の手動削除手順は、こちらをご参照下さい。また、「TROJ_SASFIS.HBC」が作成する不正プログラム「BKDR_SASFIS.AC」の手動削除手順については、こちらをご参照下さい。

トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

トレンドマイクロの製品をご利用のユーザは、クラウド型技術と連携した相関分析により、今回の脅威から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」では、「E-mailレピュテーション」技術により、関連するスパムメールを受信することなくブロックできます。また、「ファイルレピュテーション」技術により、「TROJ_SASFIS.HBC」および「BKDR_SASFIS.AC」を検出し削除します。

コンピュータを攻撃から守るにはどうすればいいのですか?

以下のような、インターネット利用における安全対策を習慣づけることが必要です。

  • メールの添付ファイルは、ダウンロードする前、もしくは開く前に、必ず信頼のおけるセキュリティソフトでスキャンする。
  • 信頼できる送信元や予期された送信元からのメールの添付ファイルのみを開く。
  • 迷惑メールおよび疑わしいメールは開かずに、すべて削除する。
  • Webサイトを閲覧する際には、セキュリティソフトやリアルタイムスキャン(常にコンピュータを監視し、不正プログラムが侵入してくると自動的に検出する機能)を使用する。

また、トレンドマイクロ製品をご利用でないユーザは、無料サービス「HouseCall」を利用して、感染していないかどうか確認することをお勧めします。この無料サービスは、感染コンピュータからすべてのウイルス、トロイの木馬型不正プログラム、ワーム、迷惑なWebブラウザのプラグイン、および他の不正プログラムを特定し、除去します。