So-net無料ブログ作成

請求書メールに注意、添付ファイルでマルウェア感染 [ウィルス/不正アクセス]

添付ファイルを開かせてマルウェア(ウイルス)に感染させようとする、請求書を装うメールが不特定多数にばらまかれているとして、日本サイバー犯罪対策センター(JC3)などが30日、注意を呼びかけた。時を同じくして、アップルを装うマルウェアメールも大量に舞い込んでいる。

■日本語メールの請求書でバンキングマルウェアに感染

 JC3の発表によると、問題のメールは、『請求書「invoice」※』、『請求書※』、『「請求書」※』、『請求書払い※』という件名(※は記号と3桁~6桁の数字)で送られており、「御請求書※.xls」(※は3桁~5桁の数字)というファイルが添付されているという。拡張子「.xls」は、マイクロソフトの表計算ソフトExcelの旧形式の文書ファイルだ。

 インターネット上の解析サイトに投稿された当該ファイルのスキャン結果によると、ファイルには、マクロと呼ばれるExcelのプログラム機能を使い、Windowの標準機能「PowerShell」に外部サイトからマルウェアをダウンロードし実行させる処理が埋め込まれている。実行するのは、国内のネットバンキングの不正送金に使われている、バンキングマルウェアのUrsnif(アースニフ:別名Gozi、ISFB、DreamBotなど)とみられる。

 感染処理は、Excelファイルを開くと自動実行するようになっているが、標準設定のExcelであれば「セキュリティの警告」が表示されるので、開いただけで感染するわけではない。「コンテンツの有効化」ボタンを押すなどしてマクロを有効にすると、感染活動が始まる。

 2010以降のExcelの場合には、「保護ビュー」という特別なモードを使ってインターネット上から取得したファイルを開く。保護ビューではマクロを含むExcelのほとんどの機能が無効なので、「編集を有効にする」ボタンをクリックして保護ビューを解除し、さらに「セキュリティの警告」の「コンテンツの有効化」をクリックしなければ、マクロが実行されることはない。

■アップルを装う英文メールの請求書でランサムウェアに感染

 同じ8月30日には、アップルを装う英文メールも大量にばらまかれている。このメールは、『E-invoice for your order #※』という件名で、「※.7z」というファイルが添付されている(※は10桁の数字)。未確認だが、拡張子が「.zip」の添付ファイルもあるという。英文のメールだが、国内のユーザーの元にも多数届いており、差出人が「APPLE」に偽装されているため、うっかり開いてしまうかもしれない。

 拡張子「.7z」や「.zip」は、ひとつ以上のファイルを圧縮してまとめる圧縮形式のひとつ。ZIP形式は、Windowsが標準でサポートしているが、7Z形式は、このタイプの圧縮形式を扱うアーカイバと呼ばれるアプリをインストールしていなければ開くことができない。添付ファイルの中には、「※.vbs」(※は10桁の数字)というファイルが入っている。拡張子「.vbs」は、VBScriptというプログラムの一種で、Windowsの標準機能WSH(Windows Script Host)がこのプログラムを実行する。

 インターネット上の解析サイトに投稿された当該ファイルのスキャン結果によると、このスクリプトもまた、Windowの標準機能「PowerShell」に外部サイトからマルウェアをダウンロードし実行させるように作られていた。実行するのは、パソコン内のファイルを暗号化して身代金を要求する、ランサムウェアのLockyとみられる。

 インターネット上から取得した実行型のファイルを開こうとすると、システムが「セキュリティの警告」を表示し、開くかどうか確認を求めて来る。ここで「開く」をクリックすると、スクリプトが実行され感染活動が始まる。注意しなければいけないのは、このセキュリティの警告が必ず出るとは限らない点だ。

 Windowsは、ファイルに付いた「ZoneID」というマークを使って、インターネット上から取得したものかどうかを識別している。このZoneIDは、ファイルを取り扱うアプリが必要に応じて付加する。今回の事例では、添付ファイルをダウンロードするメールソフトと、それを開くアーカイバがZoneIDに対応していないと、ZoneIDが欠落してしまい、開くとセキュリティの警告なしで実行してしまう。例えば、ZoneIDに対応していないアーカイバ「Lhaplus」をインストールしていると、ZIP形式や標準では扱えない7Z形式のファイルをLhaplusが処理するようになる。添付ファイルの中のVBSファイルを開くと、警告なしで感染活動が始まってしまう。

■添付ファイル型マルウェアメールに備えて

 バンキングマルウェアに感染させようとする日本語メールは、8月31日にはばらまかれなかったようだが、毎月数回、不定期なばらまきが続いている。ランサムウェアに感染させようとする英文メールは、今週に入ってから連日続いており、偽アップルに続いて31日には、「Emailed Invoice - ※:1」(※は5桁の数字)、「August Payment」という件名のものが大量に届いている。今回はどちらも領収書を装うメールだったが、手を変え品を変え、いろいろなパターンのメールが今後も送られて来ることが予想される。メールの添付ファイルやリンクを、だまされて開かないよう注意していただきたい。

 末尾に挙げた関連トピックス『危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法』では、保護ビューやZoneIDなどについて詳しく解説している。うっかり開いてしまっても安全に取り扱えるよう、ぜひご一読いただきたい。

(2017/09/01 セキュリティ通信)

【関連URL】
・インターネットバンキングマルウェアに感染させるウイルス付メールに注意
https://www.jc3.or.jp/topics/virusmail.html

【関連記事:セキュリティ通信】
・うっかり操作でマルウェア感染、IPAが文書ファイルの新たな悪用手口を解説
http://security-t.blog.so-net.ne.jp/2017-08-02
・日本郵便など騙るマルウェアメールに注意――添付ファイルで不正送金ウイルス感染
http://security-t.blog.so-net.ne.jp/2017-07-27-2
・Excelファイルの添付メールに注意、マルウェア感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-07-20
・請求書を装うマルウェアメールに注意、Excelマクロでマルウェア感染
http://security-t.blog.so-net.ne.jp/2017-06-05
・さまざまな件名で届く「バンキングマルウェア」メール――感染しないチェック法
http://security-t.blog.so-net.ne.jp/2017-05-26
・アイコンやファイル名に騙されないために―「拡張子」「種類」を表示する方法
http://security-t.blog.so-net.ne.jp/2016-02-25-2
・添付ファイル誤実行を食い止める「セキュリティの警告」――仕組みを知って活用を
http://security-t.blog.so-net.ne.jp/2016-06-30

【関連トピックス:セキュリティ通信】
・危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法
http://www.so-net.ne.jp/security/news/newstopics_201708.html