2007年06月03日 (日)
ウィルス観測:
Email.Phishing.RB-792
先月 5 月 30 日午前 5 時頃、ClamAV での検出名が Email.Phishing.RB-792 としてというフィッシングメールを受け取りました。
メールの内容
Email.Phishing.RB-792 は HTML メールとしてやってきました。内容は次のとおりです。
- Return-path
- <service.reft26974723329814.cm@nationalcity.com>
- Received
- from from 89-139-122-227.bb.netvision.net.il
(89-139-122-227.bb.netvision.net.il [89.139.122.227])
by mac.com (Xserve/smtpin34/MantshX 4.0) with SMTP id l4U9vGVu014757; Wed,
30 May 2007 02:57:18 -0700 (PDT) - Date
- Wed, 30 May 2007 02:57:16 -0700 (PDT)
- From
- National City <service.reft26974723329814.cm@nationalcity.com>
- Subject
- Confirm Your Online Banking Records! (message id: lg6380486)
- Message-id
- <200705300957.l4U9vGVu014757@mac.com>
Dear National City business client:
The National City Corporate Customer Service requests you to complete the National City Business Online Client Form.
This procedure is obligatory for all business and corporate clients of National City.
Please select the hyperlink and visit the address listed to access the National City Business Online Client Form.
http://session-803779051.nationalcity.com/corporate/onlineservices/TreasuryMgmt/
Again, thank you for choosing National City for your business needs. We look forward to working with you.
***** Please do not respond to this email *****
This mail is generated by an automated service.
Replies to this mail are not read by National City Corporate Customer Service or technical support.
*************************************************************************************************
0x504, 0x65, 0x902, 0x59, 0x190, 0x17, 0x699, 0x2782 2NK TK4A FLDN type: 0x4, 0x4772, 0x542, 0x072 0x437, 0x949, 0x71339052, 0x83737558 tmp: 0x28, 0x54, 0x505, 0x849, 0x1, 0x5460 cvs: 0x234, 0x0 0UT2: 0x505, 0x2819 0x61, 0x87283886, 0x05351668, 0x4625, 0x1767, 0x96, 0x94, 0x7, 0x220, 0x24, 0x5, 0x0, 0x68244095, 0x0 0x6436, 0x75, 0x0628, 0x58, 0x979
F5E: 0x8, 0x7, 0x18, 0x41, 0x00, 0x8947, 0x769, 0x96349489, 0x52, 0x2312, 0x33 A3BN: 0x3402 IOA: 0x5, 0x44, 0x0306, 0x0 C32, exe, UON, E8B, GA3, M2SE, source. 0x09, 0x3 0x4896, 0x07818427, 0x87, 0x3590, 0x89, 0x0647, 0x733, 0x85647273 rev tmp 0x316, 0x7, 0x78 0x2177, 0x354, 0x538, 0x51, 0x69646469, 0x643, 0x70537000, 0x334, 0x3426, 0x6, 0x608, 0x525, 0x626, 0x5859, 0x33 exe: 0x4013, 0x87, 0x56, 0x67343897, 0x69, 0x59522004, 0x177, 0x5, 0x91597658, 0x17773583
hex: 0x4, 0x57, 0x0873, 0x3, 0x47 0x32673976, 0x203, 0x932, 0x88944672, 0x3, 0x382, 0x07206641, 0x4661, 0x714 0x42, 0x9053 rcs: 0x138, 0x24091772, 0x2, 0x73627565, 0x8794, 0x3204, 0x6, 0x2286, 0x40, 0x02, 0x976, 0x578, 0x18028290, 0x5 YMNH, stack, LYD, N97, KX1W0x04001621, 0x830, 0x3, 0x9793, 0x714, 0x0631, 0x6, 0x52 0x1299, 0x09, 0x6, 0x787, 0x042, 0x6, 0x70, 0x234, 0x487, 0x01, 0x9, 0x368, 0x83271640, 0x5510 engine: 0x3327, 0x47071974, 0x198, 0x26, 0x8072, 0x23, 0x86, 0x8697, 0x20, 0x855, 0x6, 0x175 LCUS dec JXEM source U5S SDY 0MKN 0x5, 0x2, 0x72687935, 0x487
発信元
このメールは私の .Mac のメールアドレスに届いたものです。上に掲載した Received ヘッダ以前の Received ヘッダは信用できません。一歩手前の(一つ下に書いてある) Received でメールを受け取ったとしているメールサーバと .Mac のメールサーバに渡してきた 89-139-122-227.bb.netvision.net.il とは全く関係なさそうなアドレスだからです。ですから 89-139-122-227.bb.netvision.net.il が経路を詐称して直接発信したと考えられます。
この 89-139-122-227.bb.netvision.net.il はイスラエルの NetVition Ltd. が管轄する IP アドレスを持っています。この NetVition Ltd. の住所は Omega Building Matam Industrial Park Haifa 31905 です。
しかしこの 89-139-122-227.bb.netvision.net.il のアドレスをもつマシンはボットで操縦されたマシンではないかと推測しています。次のセクションも見てください。
影響
上ではリンクにしていませんが URL 部分はリンクになっていてインド洋イギリス領のドメインを持つ URL にリンクされています。しかもそのホスト名部分の先頭は session-803779051.nationalcity.com となっていてブラウザの URL 欄を見ても文面に合致するページを表示しているように錯覚させるようになっています。
そのフィッシングサイトの IP アドレスは複数あり、それぞれ別な組織がホスティングしています。
- Road Runner HoldCo LLC (アメリカ)
- WiMAX Telecom (スロバキア)
- Stentor National Integrated Communications Network (カナダ)
- Apolo -Gold-Telecom-Per (アルゼンチン)
- EastLink (カナダ)
いずれにせよ、文面上のリンク先と実際のリンク先は全く異なります。National City という名前の銀行のサイト風のページにリンクされています。
少なくともその銀行の顧客を狙っていて、そのアカウントおよびパスワードを奪取されるでしょう。ログイン操作を行った後はどのようになっているのか確認していませんが、その後も何か入力させるようでしたら、それ以外の情報の奪取もされるでしょう。
対応
以下では私が実際に実施していることのなかでこのメールに有効だったことを列挙しています。
この手のメールの多くは HTML メールとしてやってきます。まずはメールの HTML 表示を無効にするのがよいでしょう。
HTML が無効になっていると、HTML のみのメールは全く表示されません。普通の HTML メールは文面のテキスト版も一緒に送られてくるものです。正当な送り主の場合にはほとんどの場合そのテキスト版が表示されます。ですから HTML 表示を無効にしていて内容が全く書かれていないメールならばかなり怪しいと判断できます。
次にジャンクメールの判定を精度よく行うメールソフトを使用するのもよいでしょう。ジャンクメールに分類されたメールは疑ってかかりますよね。
危険なメールをフィルターするサービスをしているプロバイダを通して受信するのも有効です。このメールのような明らかなフィッシングメールはドロップしてくれます。
ClamAV のようにフィッシングも判定できるセキュリティ対策ソフトを導入して運用するのも有効です。そのソフトの機能や設置の仕方によりますが、危険なメールを判定し、警告を付けたり削除したりしてくれます。
私の場合、.Mac のサーバが受信して .Mac の受信ボックスに置くと同時にプロバイダの私のメールアドレスに転送するようになっています。そしてこのメールに関する私の経緯は次のようでした。
まず、.Mac の受信ボックスを ThunderBird で参照してそれがジャンクメールに分類されていました。そして誤判定を確認するため(もしくは面白いスパムだったらネタにするため)にそのメールを参照しました。テキスト版が付いていない HTML メールなので全く内容は表示されません。そこでメールのソースを参照して内容を確認しフィッシングであると判断していました。
しばらく転送先のプロバイダにメールが届くのを待っていました。しかしそのメールは届きませんでした。プロバイダに届いたメールは一旦 LAN のサーバが受信するようになっています。そのサーバもジャンクメールフィルターを付けています。spam は受信者のメールボックスの中の junk フォルダーに置かれ、ウィルスの類い(フィッシングも含む)は捨てられるように設定しています。その LAN のサーバが捨てたのかと履歴を漁りましたが捨ててはいないようです。つまりプロバイダレベルで捨てられたようです。
Posted: 21:51 | Comment | Trackback
以下、類似エントリです。
.Mac および .Mac 配布アプリケーションを利用するためのノウハウやツールを提供しているウェブログです。iBlog の諸問題を克服し様々な機能を追加するためのツール iblogPatcher とそのプラグインや iBlog のバックアッププログラム iBlogFreezer の開発と公開、.Mac カウンタなど .Mac 提供機能の流用&カスタマイズ方法の紹介などがメインコンテンツです。
![[Valid RSS]](http://homepage.mac.com/yuji_okamura/image/valid-rss.png){kind=small}
うっかりすると駄目になってしまいます。エラーが検出されたときは Blog コメントでお知らせください。
Total entries in this category:
Published On: 2007-06-03 21:51
DotMac Counter:
