So-net無料ブログ作成

実在企業装うマルウェアメールに注意、リンクのクリックで感染のおそれ [ウィルス/不正アクセス]

 実在する会社を装い、メール内のリンクをクリックさせてマルウェア(ウイルス)に感染させようとする攻撃が9月下旬から断続的に続いているが、6日から7日にかけてまた、複数パターンのメールがばらまかれた。

 今回の攻撃では、佐川急便、楽天、ジェーシービー、バリューコマースの名前が使われた。送信日と件名は以下の通り。これらのメールの全文は、日本サイバー犯罪対策センター(JC3)のサイトで見ることができる。

 11/06 : [佐川急便] 請求内容確定のご案内
 11/06 :[楽天]会員情報変更のお知らせ
 11/07 :JCBカード2017年11月10日分お振替内容確定のご案内
 11/07 :クレジットカード決済が完了しました

 「クレジットカード決済が完了しました」という件名のメールは、バリューコマースと、同社が提供するサービス「ストアマッチ」をかたったものだ。

 それぞれのメールには「詳しくはこちら」「お問い合わせ」「サポートへのログインはこちら」など、メールの内容に合わせた複数のリンクが記載されており、これをクリックすると、ファイル拡張子が「.zip」の「圧縮フォルダ形式」のファイルがダウンロードされる。

 zipファイルの中身は「支払い情報をチェック.DOC.js」または「料金明細をチェック.DOC.js」という名前のJavaScriptファイルで、開くとプログラムが実行され、外部からマルウェア本体をダウンロードしパソコンに感染させてしまう。

 メールの宛先に複数のアドレスが列挙されていることと、リンク先が各企業とは無関係なサイトで、意味不明な英数字が連なる長いURLであることが、怪しいと気付くためのポイントだ。また、メールはほぼ適正な日本語で書かれているが、よく見ると「こちらをクリックして、ご請求を詳しく説明してください」「ログインの詳しくはこちら」「詳しくの情報はこちら」といった微妙な表現も使われている。

■攻撃はバンキングマルウェアUrsnifへの感染が目的

 一連のマルウェアメールは、バンキングマルウェア「Ursnif」(アースニフ:別名Gozi、ISFB、DreamBotなど)への感染を目論んで送り付けられているとみられる。Ursnifは金融機関関連の情報を盗み取るなどの機能がある不正プログラムで、感染した端末を使用してインターネットバンキングを利用すると、銀行口座から不正送金が行われてしまうおそれがある。下記関連URLにあるJC3のサイト「インターネットバンキングマルウェア『Gozi』による被害に注意」で、被害にあわないための対策が紹介されている。

 Ursnifとその攻撃活動については、IBMが7日に情報を公開している。同社のセキュリティ研究開発チームX-Forceによると、Ursnifは日本において過去5年間で最も活発なマルウェアだという。Ursnifを送り込むためには、日本では、金融機関やクレジットカード会社と偽ってメールを送り付ける手口が使われている。メールには、マルウェアが組み込まれたOfficeファイルを添付するタイプと、今回のようにメール内のリンクをクリックさせるタイプがある。X-Forceのデータでは、メールの数は1週間周期で跳ね上がり、通常、火曜日の夜にピークがあるという。また、実際の攻撃行動は、木曜日と金曜日にピークを迎え、週末から週明けの数日間は比較的静かになるという。

 なお、標準状態のWindowsは、ネットからダウンロードした.jsファイルを開こうとすると、「このファイルを開きますか?」という「セキュリティの警告」を表示するようになっている。ここでキャンセルすれば感染には至らないが、環境によっては問い合わせなしで実行してしまうので注意が必要だ。詳しくは、下記「関連記事」の「セキュリティトピックス」で解説しているのでご覧いただきたい。

(2017/11/08 セキュリティ通信)

【関連URL】
・佐川急便を装った迷惑メールにご注意ください(佐川急便)
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/
・楽天を装った不審なメールにご注意ください。(会員情報変更メール)(楽天)
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/42754
・JCBを装った不審なメールにご注意ください(ジェーシービー)
http://www.jcb.co.jp/news/20171107
・利用した覚えのないご請求について(バリューコマース)
https://www.valuecommerce.co.jp/news/c_news/4266/
・インターネットバンキングマルウェアに感染させるウイルス付メールに注意(JC3)
https://www.jc3.or.jp/topics/virusmail.html
・インターネットバンキングマルウェア「Gozi」による被害に注意(JC3)
https://www.jc3.or.jp/topics/gozi.html
・日本に迫る金融系マルウェアUrsnif 攻撃キャンペーンの波(IBM)
https://www.ibm.com/blogs/security/jp-ja/ursnif-campaign-waves-breaking-on-japanese-shores/

【関連記事:セキュリティ通信】
・セキュリティトピックス:危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法
http://www.so-net.ne.jp/security/news/newstopics_201708.html
・クレカの請求案内装うマルウェアメールに注意――明細確認で感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-10-24
・「詳しくはこちら」クリックに注意――自然な日本語のマルウェアメールが続々
http://security-t.blog.so-net.ne.jp/2017-10-12-1
・実在企業装うDL型マルウェアメール相次ぐ――リンク先クリックで感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-09-29