ソーシャルエンジニアリング的な内容のマルウェアのメールに、すんでのところでひっかかりそうになったことについて愚痴をこぼしている人がいた。我々はこの興味深いケースに気付き、少々調査することに決めた。
この人物は、近くサンフランシスコ行きのチケットを予約することについて、友人に話をしていた。そして、その電話から6時間後、サンフランシスコへの電子航空チケットが添付されたメールを受け取った。この人は十分注意をしていたため添付ファイルには触れなかったが、それは良い判断であった。当社で分析したところ、Trojan.Krypt.AUのバリアントと特定されたのだ。
これは単にスパムメールで大量に送られたマルウェアで、なおかつちょうど適切なときに、この特定のユーザに命中したソーシャルエンジニアリング的な文章だったのに過ぎないのかもしれない。しかし当社のサンプル群を確認すると、関連するマルウェアについて、わずか1250の事例しか存在しなかった。これは、このマルウェアに限っては大勢の受信者に向けてスパムが送られたのではないことを示唆する。そのため、ちょうど命中したという可能性は非常に小さい。
ここ1年のうちに、標的型広告サービス業者のユーザのプロファイルは、大幅に進化した。たとえば筆者が飛行機の便やホテルの情報をブラウザで表示したときのことだ。Trip Advisorなどの企業から、その特定の行先の飛行機の便やホテルについて提案するメールが来るようになった。もちろん、こういう経験をするにはFreedomeを無効にする必要がある。それでこそ筆者の追跡が可能になる。しかしこれが、一般ユーザのようにネットを体験したいと考えることの代償なのだ。
今回のケースでは、マルウェア作者が被害者を見出すため、一部の標的型広告サービスを悪用した模様だ。検索エンジンでの広告の悪用は多数目にするが、メール広告サービスが同様の方法で使われた兆候が見られたのは、今回が初めてのケースだ。
これまでのところ、被害者の選定が標的型プロファイルの悪用によってなされたことや、プロファイルする際に電話の分析に基づいていたことを示す証拠はない。おそらく前述の人物は、プロファイルに適合する何かを検索したのだ。しかしこれは興味深いケースで、我々はこの先の展開に目を光らせていく。
Post by — Jarno
この人物は、近くサンフランシスコ行きのチケットを予約することについて、友人に話をしていた。そして、その電話から6時間後、サンフランシスコへの電子航空チケットが添付されたメールを受け取った。この人は十分注意をしていたため添付ファイルには触れなかったが、それは良い判断であった。当社で分析したところ、Trojan.Krypt.AUのバリアントと特定されたのだ。
これは単にスパムメールで大量に送られたマルウェアで、なおかつちょうど適切なときに、この特定のユーザに命中したソーシャルエンジニアリング的な文章だったのに過ぎないのかもしれない。しかし当社のサンプル群を確認すると、関連するマルウェアについて、わずか1250の事例しか存在しなかった。これは、このマルウェアに限っては大勢の受信者に向けてスパムが送られたのではないことを示唆する。そのため、ちょうど命中したという可能性は非常に小さい。
ここ1年のうちに、標的型広告サービス業者のユーザのプロファイルは、大幅に進化した。たとえば筆者が飛行機の便やホテルの情報をブラウザで表示したときのことだ。Trip Advisorなどの企業から、その特定の行先の飛行機の便やホテルについて提案するメールが来るようになった。もちろん、こういう経験をするにはFreedomeを無効にする必要がある。それでこそ筆者の追跡が可能になる。しかしこれが、一般ユーザのようにネットを体験したいと考えることの代償なのだ。
今回のケースでは、マルウェア作者が被害者を見出すため、一部の標的型広告サービスを悪用した模様だ。検索エンジンでの広告の悪用は多数目にするが、メール広告サービスが同様の方法で使われた兆候が見られたのは、今回が初めてのケースだ。
これまでのところ、被害者の選定が標的型プロファイルの悪用によってなされたことや、プロファイルする際に電話の分析に基づいていたことを示す証拠はない。おそらく前述の人物は、プロファイルに適合する何かを検索したのだ。しかしこれは興味深いケースで、我々はこの先の展開に目を光らせていく。
Post by — Jarno
