「Microsoft Security Bulletin MS07-0065 -- Critical Update」という件名が付けられ、「update@microsoft.com」から送信されたように装うこのスパムは、6月18日付けのセキュリティ・パッチをダウンロードすることを推奨し、本物に見えるURLへのリンクを提示している。
メッセージ本文には、「新たなゼロデイ脆弱性が発見され、詳細が公になった。この脆弱性は『MICROSOFT OUTLOOK』が稼働しているマシンに影響を与え、攻撃過程が成功した場合は、攻撃者に脆弱なコンピュータの完全な制御権が奪われるおそれがある」と書かれている。また、このバグを悪用する名称不明のマルウェアによって、すでに10万台のPCが乗っ取られたという情報も含まれている。
しかし、メッセージ内のリンクは、実はマシンにトロイの木馬をダウンロードする複数の攻撃用サイトの1つに張られている。
Sophosのアナリスト、グラハム・クルーリー氏は、「Microsoftが同社製ソフトウェアの脆弱性を記したセキュリティ情報を発表するのは、めずらしいことではない。(だが)ハッカーらは、ユーザーの本名やMicrosoftのロゴ、もっともらしいことばづかいなどを駆使して、多くのユーザーをみずからが仕掛けた罠へ誘い込もうとしている」と警告する。
SANS Instituteのインターネット・ストーム・センターと、Symantecのセキュリティ早期警告サービス「DeepSight」も、こうした詐欺的なメッセージに対して注意を呼びかけている。
カリフォルニア大学サンタバーバラ校で心理学を専攻するジェームズ・ブラスコビッチ教授は、「詐欺スパマー」にとって、本物らしさを演出することが非常に重要なテクニックになってきていると指摘する。
同教授は6月26日、疑わしい電子メールをユーザーに安全と思わせて開封させるために攻撃者が繰り広げている心理ゲームに関する論文を発表している。
攻撃者が駆使するテクニックには、Microsoft自身が日ごろから使っている「Microsoft正規ソフトウェア(Genuine Microsoft Software)」というフレーズを用いて偽のセキュリティ警告を出したり、メッセージ本文にメール受信者の名前を組み込んだり、製品レジストレーション・キーらしきものを含めたりといったものがある。
とはいえ、注意深いユーザーであれば、メッセージの信憑性にすぐに疑問を持つはずだ。スパムにありがちなスペルミスが見られるばかりでなく、同メッセージがセキュリティ・アップデートに「MS07-0065」という番号を冠しているからだ。2007年以降にリリースされ、Microsoft独自の仕組みにしたがって番号付けされたアップデートは、最新のものでも「MS07-035」である。
(グレッグ・カイザー/Computerworld オンライン米国版)