あなたの Facebookアカウントのパスワードが危い！？ - セキュリティは楽しいかね？ Part 1

すいません、タイトルは釣りです。(^^)

実は最近、私のところにこんな文面のメールが届きました。

Dear user of FaceBook.
Your password is not safe!
To secure your account the password has been changed automatically.
Attached document contains a new password to your account and detailed
information about new security measures.
Thank you for attention,
Administration of Facebook.

メールの差出人は "Your Facebook" でした。
「えっ、私のアカウントもハクられてしまったか！」と一瞬ドキっとしましたが(してないけど)、まあ落ち着いてよくみると、怪しいところがいっぱい。だいたい添付ファイル(Windowsの実行ファイルを Zipで圧縮したもの)を送ってくるところからして、すでにおかしい。で、いつもだったら、またスパムがきたかと放置して終わりですが、せっかくなので誰にでも簡単にできる範囲で調べてみることにしました。(正確にいうと、通常は勝手にスパム判定されてしまうので、ほとんどこういうメールを目にすることはないです。)

まずはメールのヘッダをみてみると、こんな感じ。(普段は見えませんが、どんなメールソフトでもヘッダを見る機能があるはずです。)

Received: from facebook.com (60-248-249-193.HINET-IP.hinet.net [60.248.249.193])
by xxx.xxx.xxx.xxx with SMTP id XXXXXXXXXXXXXXX;

Facebookからのメールのはずなのに、なぜか別ドメイン(hinet.net)のアドレス。送信元が詐称されていることがわかります。

次に Whoisデータベースでこのアドレスを調べてみます。結果はこんな感じ。

inetnum: 60.248.0.0 - 60.248.255.255
netname: HINET-NET
country: TW
descr: CHTD, Chunghwa Telecom Co.,Ltd.
descr: Data-Bldg.6F, No.21, Sec.21, Hsin-Yi Rd.
descr: Taipei Taiwan 100
admin-c: HN27-AP
tech-c: HN28-AP
status: ALLOCATED PORTABLE
mnt-by: MAINT-TW-TWNIC
mnt-lower: MAINT-TW-TWNIC
changed: hm-changed@apnic.net 20041029
source: APNIC

台北(台湾)にある会社に割り当てられた IPアドレスです。ググってみると、hinet.netは中華電信という台湾最大手の ISPのようです。

次に送信元の IPアドレスを Google先生で検索してみます。するとただの IPアドレスなのに、何やらたくさんヒットします。

そのうちのいくつかを確認してみます。

かなり長期にわたってスパムメールを送信しているようです。(http://www.projecthoneypot.org/ip_60.248.249.193)

スパム送信ホストとして、様々なブラックリストに載せられているのがわかります。(http://rbls.org/60.248.249.193)

ここまでくれば、このメールの送信元アドレスはスパムメールの常習犯であることがわかります。おそらくは Botnetに感染した PCなのでしょう。

さて次にメールに添付されていた Zipファイルです。そのまま解凍したり実行したりするのは危険です。解析するにはそれなりの環境を準備する必要があります。しかしそういった解析はプロにまかせて、ここではオンライン解析サービスを利用してみましょう。もっとも有名なのは VirusTotalです。怪しいファイルを送信すると、解析して結果を教えてくれます。

今回のメールに添付されていたファイルを VirusTotalに送信してみると、もうすでに解析済みであると表示されました。(つまりこのファイルは他にも広がっていて、誰か別の受信者が先に VirusTotalに送っていたということ。)

40の異なるウィルス対策ソフトで調べたところ、26のソフトがこのファイルをマルウェアとして検出しています。(詳しい結果はコチラから。)

マルウェアのより詳しい動作を調べるために、もう一つ別のサービスにもファイルを送信してみます。(結果はコチラから。)

結果を見ると、このマルウェアはいわゆるダウンローダーというもので、これ自体は特に悪さをしません。そのかわりに、別のサーバーから他のマルウェアをダウンロードして実行する機能を持っています。解析レポートを見ると、ロシアにあるサーバーに接続に行っていることがわかります。このあと感染したPCに何がおこるかは、ダウンロードされたマルウェア次第ということになります。

まあこのくらいでしょうか。いちいちスパムが来るたびに毎回こんな手間をかけるわけにはいきませんが、「あれっ、なんか変だぞ？」と思ったら、安易に添付ファイルを開いたり、リンクをクリックしたりする前に、ちょっと立ち止まって考えられるといいですね。

(参考)
このスパムメール、最近流行っているらしく、いくつか記事がでていました。
http://community.ca.com/blogs/securityadvisor/archive/2011/04/13/facebook-password-has-been-changed-not.aspx
http://nakedsecurity.sophos.com/2011/04/13/facebook-password-changed-malware-attack-support/
細かい違いがいくつかあるものの、ほぼ同じ内容のメールのようです。