So-net無料ブログ作成
検索選択

さまざまな件名で届く「バンキングマルウェア」メール――感染しないチェック法 [迷惑メール]

 先週は、ランサムウェア「WannaCry」が新聞やテレビでもとりあげられ話題になったが、それと並行して日本国内では15日から18日にかけ、ネットバンキングの不正送金に使われているマルウェアに感染させようとするメールが大量にばらまかれた。

  WannaCry(ワナクライ:別名WannaCrypt/Wcryなど)は、マルウェア自身がWindowsの脆弱性を突いてネット経由で拡散するのに対し、バンキングマルウェアのUrsnif(アースニフ:別名Gozi、ISFB、DreamBotなど)のほうは、これまでも幾度となく繰り返されたメールを使った拡散だった。

 WannaCryの拡散に悪用されたWindowsの共有機能の問題は、3月に修正済みだったうえ、たいていの家庭に設置されているルーター(多くは無線LANの親機が内蔵)が感染経路を遮断しているので心配無用だったが、他のメールに紛れて届くUrsnifのキャンペーンはそうはいかない。ユーザーの対処次第では、感染してしまうかもしれない。

 メールで感染するマルウェアに対しては、「不審なメールを開かない」という対策がよくあげられる。ところが、不審なメールをわざわざ開いて感染するようなケースは稀で、ほとんどが不審と思わず開いた末に感染してしまう。重要なのは、いかに「不審」であることに気付くかだ。

■「受信メール一覧」をチェックする

 末尾の「関連URL」にある日本サイバー犯罪対策センター(JC3)の「インターネットバンキングマルウェアに感染させるウイルス付メールに注意」をご覧いただくと、先週ばらまかれたマルウェアメールの情報が一覧できる。さまざまな件名と内容の日本語メールであることと、添付ファイルを開いて感染するタイプなのが特徴だ。このようなメールを受け取ると、最初に件名と差出人を見て、明らかに関係のないものに関しては開くことなく削除するだろう。スマートフォンでは難しいかもしれないが、差出人とメールアドレスの両方が表示できると、無関係なメールアドレスでも判断できる。JC3の情報にはないが、差出人は、勝手に使われたとみられる一般の方の様々なメールアドレスになっている。

■「メールを開いて」考える

 不審に思わないままメールを開いてしまったら、次に内容に怪しいところはないか、ファイルが添付されていることに不自然さはないかを吟味する。メールのヘッダ情報を見ると、そのメールが送られて来た経路が確認でき、真の発信元から真贋を判定することも可能だが、少々ハードルが高い。興味のある方は調べてみるとよい。
 差出人、差出人のメールアドレス、内容、添付ファイルのどこにも不自然さがなければ、いよいよ添付ファイルを開くことになる。この時、メールからいきなり開くのではなく、いったん保存することをお勧めする。標準設定のWindowsは、ファイルの拡張子や種類を表示しないため、アイコンやファイル名にだまされてしまうことがある。どのようなファイルなのかが判別できるように、あらかじめ拡張子やファイルの種類を表示するように設定しておく。設定方法は、末尾「関連記事」の「アイコンやファイル名に騙されないために―「拡張子」「種類」を表示する方法」を参考にしていただきたい。

■「添付ファイルを開く前に」考える

 添付ファイルは、大きく分けるとZIP形式の圧縮フォルダー(拡張子 .zip)と、Microsoft Wordの文書ファイル(拡張子.doc/.docx)だ。ZIPファイルの場合は、2重に圧縮されている場合や、中にWordの文書ファイルが入っている場合もある。
 ZIPファイルの方は、開いた中に入っているファイルをさらに開くことになるが、その度にファイルの拡張子や種類に注意する。今回の攻撃では、例えばWindows上で実行可能なスクリプト形式のプログラムのひとつで、拡張子が「.js」のファイル(JavaScriptファイル)が「01.06_16.5.2017_5.pdf.js」というように、拡張子を偽装した形で入っている。拡張子が非表示の場合、このファイルは「01.06_16.5.2017_5.pdf」と表示されるので、閲覧用の文書ファイルによく使われる、PDFファイルと勘違いして開いてしまうかもしれない。しかし、実体はプログラであり、開くと(実行すると)外部からバンキングマルウェア本体をダウンロードして実行してしまう。
 このほかにも、「ファイル名.pdf.exe」という形でUrsnifそのものが入っていたり、次のWordの文書ファイルが入っていたりするバリエーションもあるそうだ。

■「添付ファイルを開いてから」考える

 ZIPファイル内の「.js」や「.exe」ファイルを開いてしまうと試合終了だが、ZIPファイルの中身や添付ファイル自体がWordの文書ファイルの場合には、もうワンステップ猶予がある。
 文書ファイルの中には、JavaScriptファイルが埋め込まれているのだが、開いただけでは実行されない。それをダブルクリックすると実行し、ZIPの中の.jsファイルを開いたのと同じ結果になる。文書ファイル内には、「プレビュー文書をダブルクリックしてください」などと書かれているが、だまされてダブルクリックしてはいけない。

(2017/05/24 セキュリティ通信)

【関連URL】
・インターネットバンキングマルウェアに感染させるウイルス付メールに注意(日本サイバー犯罪対策センター)
https://www.jc3.or.jp/topics/virusmail.html
・インターネットバンキングマルウェア「Gozi」による被害に注意(日本サイバー犯罪対策センター)
https://www.jc3.or.jp/topics/gozi.html
・日本を狙うインターネットバンキングマルウェア「DreamBot」を利用する攻撃者(ラック)
https://www.lac.co.jp/lacwatch/people/20170523_001291.html
・「駐禁報告書」に注意-43万件規模のメール拡散の狙いは37以上の金融・ネットサービス(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/14979

【関連記事:セキュリティ通信】
・JC3、不正送金マルウェアに感染していないかチェックできるサイトを試験公開(2017/03/17)
http://security-t.blog.so-net.ne.jp/2017-03-17-2
・さまざまな件名でマルウェア(ウイルス)付き日本語メール拡散中(2017/01/23)
http://security-t.blog.so-net.ne.jp/2017-01-23
・不正送金ウイルスメール情報を警視庁が事前キャッチ、Twitterで注意喚起(2016/11/08)
http://security-t.blog.so-net.ne.jp/2016-11-08
・マルウェア添付メールが拡散、国税庁やネットショップかたるものも(2016/10/14)
http://security-t.blog.so-net.ne.jp/2016-10-14
・メール利用攻撃が急増、「自然な日本語」で金融マルウェア配布(2016/09/12)
http://security-t.blog.so-net.ne.jp/2016-09-12
・マルウェア(ウイルス)付き日本語メール、件名を変えながら拡散中(2016/06/29)
http://security-t.blog.so-net.ne.jp/2016-06-29
・アイコンやファイル名に騙されないために―「拡張子」「種類」を表示する方法(2016/02/25)
http://security-t.blog.so-net.ne.jp/2016-02-25-2
・添付ファイル誤実行を食い止める「セキュリティの警告」――仕組みを知って活用を(2016/06/30)
http://security-t.blog.so-net.ne.jp/2016-06-30