So-net無料ブログ作成

「注文確認」「複合機からの通知」を装うウイルスメールに注意 [迷惑メール]

 8日、Word文書を添付した迷惑メールが大量にばらまかれた。実在する企業をかたった「注文確認メール」と、複合機から送信されたように装うメールの2種類が確認されている。攻撃者の目的は、パソコンをウイルスに感染させてネットバンキングの認証情報を盗み取ることだ。

 情報処理推進機構(IPA)やセキュリティベンダーが注意を呼びかけている。トレンドマイクロでは、8日午前6時頃から午後6時頃までに、2種類合わせて1万3000通以上を確認したという。

 注文確認を装うメールは、件名が「【RSコンポーネンツより】ご注文ありがとうございました-添付ファイル「出荷のご案内」を必ずご確認ください」とされている。本文には「必ず添付の「出荷のご案内」(pdf.ファイル)をご確認ください」などと書かれているが、実際に添付されているのはPDFファイルではなくWordファイルだ。このメールについて、名前をかたられたアールエスコンポーネンツが注意を呼びかけている。
・当社名を騙る不審なメールにご注意ください(アールエスコンポーネンツ)
http://jp.rs-online.com/web/generalDisplay.html?id=announcement/info_151009

 もう1種類は、複合機から送られたように装ったもの。スキャナ機能で読み取ったデータをメールに添付して送信したように見せかけており、本文の最後には「西東京複合機より送信」と記載されている。このメールはリコーの複合機から送られたように装っているため、同社が注意を呼びかけている。
・弊社複合機からの電子メール送信を装った不審なメールにご注意ください(リコー)
https://jp.ricoh.com/info/notice/2015/1008_1.html

■添付のWord文書には「悪質なマクロ」が

 IPAやセキュリティベンダーが発表した情報によると、添付されているWord文書には悪質なマクロが含まれている。この文書を開いた際の図がトレンドマイクロのブログに掲載されており、文字が何も表示されず、セキュリティの警告が出ていることが読み取れる。

 Wordの標準設定では、文書にマクロが含まれていた場合、この図のように「セキュリティの警告 マクロが無効にされました」という警告が表示され、マクロが自動的に無効化される。ウイルスに感染するおそれがあるのは、無効になっているマクロを文書上で自ら有効化してしまった場合や、Wordの設定そのものを変更して全てのマクロを有効にしている場合だ。Word文書を開いただけなら感染することはない。

 今回の件ではマクロを有効にすると、ネットバンキングを狙う不正プログラム「SHIZ」がダウンロードされる。「SHIZ」は「SHIFU」とも呼ばれるオンライン銀行詐欺ツールで、感染するとネットバンキングの認証情報が盗み取られ、不正送金被害にあうおそれがある。

■「複合機からの通知」装うウイルスメールは過去にも

 複合機からの通知を装い、悪質なマクロが含まれるWordファイルを添付した今回のようなメールは、今年6月にも確認されている。機種名をかたられたコニカミノルタ、富士ゼロックスをはじめ、複合機メーカー各社が、添付ファイルを開かずに削除することや、電子メールの件名を初期設定値から変更することを呼びかけている。
・当社複合機からのScan to E-mail機能により送信されたと誤解を招くタイトルの、不審なメールにご注意ください(コニカミノルタ)
http://www.konicaminolta.jp/business/support/important/scan_to_email.html
・弊社複合機からの「スキャン文書のメール送信」機能を装った不審なメールにご注意ください(富士ゼロックス)
https://www.fujixerox.co.jp/company/news/notice/2015/0630_multifunction.html

 攻撃者の目的はこの時も、ネットバンクの認証情報を盗み取るウイルスに感染させることだった。ただし、感染させようとしていたウイルスは、今回の「SHIZ」ではなく「DRIDEX」だった。
 警察庁が9月17日に公開した「平成27年上半期のサイバー空間をめぐる脅威の情勢に
ついて」においても、複合機のスキャナ機能により読み込んだ文書の送付を装った標的型メール攻撃を、6月以降、新規に把握したと報告されている。

■対策は「不審メールは開封しない」――開封してしまったら?

 IPAでは今回の件について、当該メールを受診した場合は添付ファイルを開かないこと、開いてしまった場合はセキュリティソフトのパターンファイルを最新版にした上でウイルススキャンを実行することと、ウイルスが検出されなかった場合でも感染している可能性があるので、セキュリティベンダーに問い合わせることを呼びかけている。
 また、今回の手口はマクロ実行によってウイルスをダウンロードし、感染させるものであることから、安全性が不明なファイルではマクロを有効化しないことを推奨している。さらに、今後も同様のメールが送られてくる可能性があるので、不審なメールは安易に開封しないよう注意してほしいとしている。

 なおシマンテックでは、今回のメールは日本のさまざまな企業の従業員の元に届いているとし、当該ウイルスがほとんど日本のみで限定的に拡散しているとしている。特定の業種または企業が標的にされていることを示す兆候は、今のところないという。

(2015/10/13 セキュリティ通信)

【関連URL】
・【注意喚起】特定の組織からの注文連絡等を装ったばらまき型メールに注意(IPA)
http://www.ipa.go.jp/security/topics/alert271009.html
・「注文確認」、「複合機」2種の偽装メールを同時に確認、狙いはネットバンキング(トレンドマイクロ セキュリティブログ)
http://blog.trendmicro.co.jp/archives/12343
・日本の企業を標的とするマルウェアスパム攻撃が活発に(シマンテック公式ブログ)
http://www.symantec.com/connect/ja/node/3522051
・標的型メール「出荷のご案内」や「複合機」を装った日本語メールを確認しています。ご注意ください(キヤノンITソリューションズ)
http://canon-its.jp/eset/malware_info/news/151009/