So-net無料ブログ作成

実在企業装うマルウェアメール頻発――ダウンロード型、添付型それぞれの手口 [ウィルス/不正アクセス]

 実在する会社を装い、バンキングマルウェア(ウイルス)に感染させようとする攻撃が、相変わらず続いている。先週は平日の毎日、メール内のリンクをクリックしてダウンロードするタイプと、添付ファイルを開かせるタイプの両方がばらまかれた。

 先週の攻撃では、ゆうちょ銀行、三井住友銀行と三井住友カード、みずほ銀行とオリエントコーポレーション、スルガ銀行、楽天と楽天カード、ジャパントラストと映音堂、NHKオンデマンドの名前が使われた。送信日と件名は以下の通り。これらのメールの全文は、日本サイバー犯罪対策センター(JC3)のサイトで見ることができる。なお、JC3の情報では、23日に送信日されたメールが24日送信のメールの一部に混じっているので、下記一覧では適宜23日に修正している。

<攻撃メールの送信日とメール件名>
11/20:ゆうちょ銀行 入金のご連絡 (N71019788477G)
11/21:[三井住友銀行] ValueDoor電子認証設定のお願い
 「みずほ銀行カードローン」仮申し込みの審査結果のご連絡
 【スルガ銀行】リザーブドプランカードお申込み
 [楽天]会員情報変更のお知らせ
11/22:Re:お振込口座変更のご連絡(※添付:お振込口座変更のご連絡.doc)
11/23:ご注文ありがとうございました(※添付:VJA ギフトカードインターネットショップ.doc)
 【 NOD 】 ご購入手続き完了のお
11/24:ご注文ありがとうございました(※添付:お振込口座変更のご連絡.doc)
 [楽天]会員情報変更のお知らせ

■ダウンロード型:リンクを踏む→「.ZIP」→「.js」→感染というパターン

 一連のダウンロード型のメールは、「クリックしてください」「ご確認下さい」「こちら」などのリンクをクリックすると、拡張子が「.zip」の「圧縮フォルダ形式」のファイルをダウンロードしようとする。ファイルには、メールの内容に応じたそれらしい名前が付けられており、例えばNHKオンデマンドをかたった「購入手続きが完了しました」というメールでは、「注文内容をチェック.zip」というファイルが落ちてきた。

 ZIPファイルの中身は、「料金明細をチェック.DOC.js」というJavaScriptファイルが入っている。これはプログラムファイルのひとつで、開くとプログラムが実行され感染活動が始まる。他のダウンロード型も同様、「.ZIP」→「.js」→感染というパターンだが、一部「.js」が直接落ちてくるケースもあった。

■添付型:ワード文書を開かせる→マクロ実行→感染という手口

 メールに添付したファイルを開かせる添付型3件は、いずれもワードのファイルを使用したものだった。
 ジャパントラストと映音堂の2つの名前が混在する「Re:お振込口座変更のご連絡」という件名のメールでは、マクロを仕掛けたワードの文書ファイル「お振込口座変更のご連絡.doc」を開かせる。文書には、「すこし問題がありました」と書かれており、黄色いバーの「編集を有効にする」ボタンをクリックし、さらに「コンテンツの有効化」ボタンをクリックすると、閲覧できるとある。「編集を有効にする」をクリックすると、文書を安全に開く「保護ビュー」解除されてしまい、続く「コンテンツの有効化」のクリックで、感染活動を行うマクロが実行されてしまう。

 三井住友銀行および三井住友カードをかたり、VJAギフトカード1000円券300枚購入したとする偽メールは、先のリンクをクリックさせる手口と、この添付ファイルを開かせる手口のものが観測された。添付された「VJA ギフトカードインターネットショップ.doc」は、マルウェア解析サイトの解析結果から、Microsoft Officeに付属する数式エディタの脆弱性(CVE-2017-11882)を悪用したものとみられる。この脆弱性は、今月15日のセキュリティ更新プログラムで修正されたもので、コード実行のおそれがあるものの、4段階の深刻度は最も高い「緊急」ではなく、次点の「重要」と評価されていた。
 なお、JC3が掲載しているVJAギフトカード関連メールの添付ファイル「お振込口座変更のご連絡.doc」については、確認できておらず、どのようなものだったのかは不明。

 国内のユーザーを狙い、Ursnif(アースニフ:別名Gozi、ISFB、DreamBotなど)と呼ばれるマルウェアに感染させようとするマルウェアメールは、火、水、木に集中する傾向にある。このマルウェアは、国内の複数のオンラインバンキングをはじめ、クレジットカードを扱う信販会社のサイトも対象にアカウント情報などを窃取するという。メールの添付やリンク先から落ちてきたファイルは、安全なものであることを確認できたもの以外は、決して開かぬよう注意していただきたい。

(2017/11/28 セキュリティ通信)

【関連URL】
・インターネットバンキングマルウェアに感染させるウイルス付メールに注意(JC3)
https://www.jc3.or.jp/topics/virusmail.html
・インターネットバンキングマルウェア「Gozi」による被害に注意(JC3)
https://www.jc3.or.jp/topics/gozi.html
・【重要】当行を装った不審な電子メールにご注意ください(ゆうちょ銀行)
http://www.jp-bank.japanpost.jp/news/2017/news_id001268.html
・当行を装う不審なメールにご注意ください(三井住友銀行)
http://www.smbc.co.jp/security/attention/index20.html
・「scgiftcard@smbc-card.com」からの不審なメールにご注意ください。(三井住友カード)
https://www.smbc-card.com/mem/service/sec/smfg.jsp
・みずほ銀行カードローンを騙るメールにご注意ください。(みずほ銀行)
https://www.mizuhobank.co.jp/oshirase/cardloan20171114/index.html
・みずほ銀行カードローンを騙るメールにご注意ください(オリエントコーポレーション)
http://www.orico.co.jp/information/info.html?guid=announcement4_39019
・当社を装った不審な電子メールにご注意ください(スルガ銀行)
https://www.surugabank.co.jp/surugabank/kojin/topics/171121.html
・楽天を装った不審なメールにご注意ください。(会員情報変更メール)(楽天)
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/42754/
・楽天カードを装った不審なメールにご注意ください(楽天カード)
https://www.rakuten-card.co.jp/guide/securityinfo/
・不審なメールにご注意ください(ジャパントラスト)
http://www.jpntrust.co.jp/
・映音堂(弊社社員の名前)を騙った迷惑メールにご注意ください。(映音堂)
http://eiondo.com/
・【注意】NHKオンデマンドを装った偽メールが出回っています!(NHKオンデマンド)
http://blog.nhk-ondemand.jp/2017/11/nhk.html

【関連記事:セキュリティ通信】
・セキュリティトピックス:危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法
http://www.so-net.ne.jp/security/news/newstopics_201708.html
・実在企業装うマルウェアメールに注意、リンクのクリックで感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-11-08
・クレカの請求案内装うマルウェアメールに注意――明細確認で感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-10-24
・「詳しくはこちら」クリックに注意――自然な日本語のマルウェアメールが続々
http://security-t.blog.so-net.ne.jp/2017-10-12-1
・実在企業装うDL型マルウェアメール相次ぐ――リンク先クリックで感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-09-29
・請求書メールに注意、添付ファイルでマルウェア感染
http://security-t.blog.so-net.ne.jp/2017-09-01
・マイクロソフト、11月度の月例セキュリティパッチを公開
http://security-t.blog.so-net.ne.jp/2017-11-15