2011年3月11日に発生した「東日本大震災」に関する災害情報を装った日本語のウイルスメールが多数確認されています。
　当該メールは、政府機関や災害対策に関係ありそうな組織名やメールアドレスを詐称し、一見怪しくなさそうなタイトルや本文、マイクロソフトワード文書やエクセルファイルなどの一見ウイルスと思えないファイルの添付などによって、メール受信者を騙そうとし、添付ファイルを開くと、パソコンがコンピュータウイルスに感染する可能性があります。
　パソコンがこれらのコンピュータウイルスに感染した場合、第三者がそのパソコンから情報を盗んだり、そのパソコンを踏み台にして組織内の他のコンピュータから情報を盗んだり、ネットワークに接続されている他のコンピュータにウイルスを感染させるような不正行為が可能になります。
　ウイルス対策ソフトを導入していても検知されないこともあります。
　主な対策としては、
(1)使用しているパソコンのアプリケーションやオペレーティングシステムを最新にしておくこと
(2)ウイルス対策ソフトのパターンファイルを常に最新にしておくこと
(3)誰が送ってきたか確認できないメールの添付ファイルを安易に開かないこと
などです。
　信頼できそうな組織から送られてきた災害関連のメールであっても、メールの差出人に問い合わせて送っていないという場合は、IPA情報セキュリティ安心相談窓口にご連絡ください。

情報セキュリティ安心相談窓口
http://www.ipa.go.jp/security/anshin/

　一見本物のように見せかける手法であることを理解していただくために、IPAに届出のあったウイルス情報や、セキュリティベンダ等がウェブサイトで公開している情報から「災害情報を装った日本語のウイルスメール」のメール表題や添付ファイル名を例示します。
　ただし、この例と異なれば安全である、この例と似ていればウイルスメールである、ということではありません。
　今回はまだ確認されていませんが、PDFファイルを使うウイルスメールも多く発見されています。

メール表題例：
・被災者の皆様、とくにお子さんをお持ちの被災者の皆様へ
・被ばくに対する防護対策について
・全国へ計画停電のお知らせについて
・福島原発最新状況

添付ファイル名例：
・放射線被ばくに関する基礎知識 第 1 報.doc
・ｍＳｖ（ミリシーベルト）で示した図解.doc
・放射能が関東の人間に与える影響.doc
・福島原発.doc
・3月30日放射線量の状況.doc
・避難場所一覧表.xls
・安定ヨウ素剤の服用量及び服用方法.xls

詐称された組織名：
　詐称された組織名の例は敢えて公開しません。
　自組織名を詐称したウイルスメールが発見されたという情報をウェブサイト等で公開する組織がありますが、その情報を見て、その組織からのメールは危険だという判断をするのは早計です。
　その組織からのメールを遮断すれば、正規のメールが届かなくなりますし、遮断していない組織からのメールは安全と誤解してしまう恐れがあります。

本文：
　日本語のウイルスメールの本文には、詐称された組織のウェブサイトで公開されている日本語の文章をそのままコピーしていることがあり、本文を見ただけでは、全く怪しく感じません。

悪用された脆弱性：
　最近の「災害情報を装った日本語のウイルスメール」に悪用されたことを確認された脆弱性の例を以下に示します。
　ただし、ゼロデイ攻撃と呼ばれる、修正プログラムが公開される前の脆弱性を悪用する場合もありますので、これらの脆弱性を無くしても、送信者を確認していないメールの添付ファイルを安易に開くことは危険であることを理解してください。

・Microsoft Office Wordの脆弱性(MS10-087 : CVE-2010-3333)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-087.mspx

・Microsoft Office Excelの脆弱性(MS09-067 : CVE-2009-3129)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-067.mspx

・Adobe Flash Playerの脆弱性(APSA11-01 : CVE-2011-0609)
http://www.adobe.com/support/security/advisories/apsa11-01.html
http://kb2.adobe.com/jp/cps/895/cpsid_89522.html
http://kb2.adobe.com/jp/cps/895/cpsid_89579.html

1.脆弱性の解消 - 修正プログラムの適用 -
　ウイルスに脆弱性を悪用されることが多いアプリケーションやオペレーティングシステムを最新の状態にして下さい。

(1) 日本マイクロソフト社から提供されている修正プログラムの適用
・Microsoft Update による一括修正方法
　Microsoft Update の機能を利用することによって、複数のセキュリティ修正プログラムを一括してインストールすることができます。
http://windowsupdate.microsoft.com/

　Microsoft Update の利用方法については以下のサイトを参照してください。
http://www.microsoft.com/japan/athome/security/update/j_musteps.mspx

(2) 脆弱性を悪用されることが多いアプリケーションを最新にする
・「MyJVNバージョンチェッカ」による確認及びアップデート
　IPAがウェブサイトに公開しているアプリケーションのバージョンをチェックするサービスを利用して、使用しているパソコンに既知の脆弱性が未対処で残っていないか確認するとともに、未対処であれば、最新バージョンにアップデートする。
http://jvndb.jvn.jp/apis/myjvn/#VCCHECK

2.ウイルス対策ソフトのパターンファイルを常に最新にしておく
　ウイルス対策ソフトを導入していても、最新のウイルス情報がないとウイルスを検知して防御することができません。ライセンスの有効なウイルス対策ソフトを使い、パターンファイルを常に最新にしておくことが重要です。

3.添付ファイルを開く前に正規のメールか確認
(1) 明らかな広告メールや架空請求メールであれば、開かずに削除する。
(2) 一見して問題なさそうな添付ファイル付きのメールを受信したが、なぜ自分宛てに送ってきたか心当たりがない場合は、インターネット検索や電話番号案内などで送信者の連絡先を調べ、問い合わせてみる。
(3) そのようなメールを送っていないということが判明した場合は、組織内のインシデント対応部署やシステム管理者などに報告するか、IPA情報セキュリティ安心相談窓口にご相談ください。

情報セキュリティ安心相談窓口
http://www.ipa.go.jp/security/anshin/

　なお、ウイルスメールの中には、添付ファイルをつけずに、本文に記載したURLをクリックさせることでウイルスに感染させるものや、自組織の正規の業務メールを加工した場合もあります。詳しくは、次のURLを参照ください。

情報窃取を目的として特定の組織に送られる不審なメール「標的型攻撃メール」
http://www.ipa.go.jp/security/virus/fushin110.html

・日本IBM TOKYO SOC レポート
https://www-950.ibm.com/blogs/tokyo-soc/entry/spam_jp_20110331?lang=ja
https://www-950.ibm.com/blogs/tokyo-soc/entry/spam_jp_20110330?lang=ja
・トレンドマイクロ
http://blog.trendmicro.co.jp/archives/4020
http://blog.trendmicro.co.jp/archives/4001
・カスペルスキーラブスジャパン
http://www.kaspersky.co.jp/news?id=207582699
・エフセキュア
http://blog.f-secure.jp/archives/50581365.html
・日本マイクロソフト
http://blogs.technet.com/b/mmpc/archive/2011/03/24/very-bad-news-with-more-bad-news-embedded.aspx

2011年4月4日	掲載