So-net無料ブログ作成
  • ブログをはじめる
  • ログイン

マルウェアメールが活発化、メールの添付ファイルやリンクに注意 [ウィルス/不正アクセス]

 年末からしばらく途絶えていたボットネットを使ったマルウェアメールの拡散が、再び活発化している。ランサムウェアを拡散するボットネットが11日から、不正送金マルウェアを拡散するボットネットが16日から再始動し、メールのばらまきを続けている。

ボットネットは、マルウェア(ウイルス)を使って乗っ取った多数のパソコンをネットワーク化したもので、外部から操り、さまざまなサイバー攻撃を仕掛ける。迷惑メールの配信もその悪行のひとつで、ランサムウェアを拡散する英文メールや、不正送金マルウェアを拡散する日本語メールなどが、断続的に国内のユーザーの元に届いている。国内のマルウェアメールのばらまきに使われているボットネットについては、末尾の関連URLにあるラックの「サイバー救急センターレポート 第1号」に詳しい。

■ランサムウェアの拡散メール

 ランサムウェアは、感染したパソコンのファイルを暗号化するなどしてシステムを人質に取り、復旧するために身代金の支払いを要求するマルウェアのこと。英文メールや添付ファイルのみのメールとして、国内のユーザーの元にも頻繁に届いている。

 先月29日の「Scan」という件名のメールを最後にしばらく停止していたが、今月11日から「Document Noランダムな数字」や「Unpaid invoice [ID:ランダムな数字]」などの件名で、ばらまきが再開している。添付した拡張子「.7z」などの圧縮フォルダ形式のファイルの中に、拡張子「.vbs」などのスクリプトファイルを入れてばらまくことが多く、スクリプトファイルを実行すると、外部からマルウェア本体をダウンロードして来て感染してしまう。
 感染するのはWindowsのみだが、標準状態のWindowsは7Z形式に対応していないので、添付ファイルを開くことができない。「Lhaplus」などの圧縮解凍ソフトをインストールしている場合には、添付ファイルを開いて中身を警告なしで実行してしまうことがあるので、注意していただきたい。

■不正送金マルウェアの拡散メール

 不正送金マルウェアを拡散するメールは、日本サイバー犯罪対策センター(JC3)のサイトや警視庁のTwitterで逐次報告されており、JC3のサイトで実際に送られたメールを見ることができる。「Ursnif」や「DreamBot」と呼ばれるマルウェアに感染させようとするメールで、感染するとネットバンキングなどの利用時などにアカウント情報を盗まれ、不正送金を行われるおそれがある。メールは日本語で、ファイルを添付したタイプとリンクをクリックさせてダウンロードさせるタイプとがある。実在する企業を装う本物のメールそっくりの精巧なものもあるので、騙されないよう注意していただきたい。

 添付ファイル型は、マイクロソフトエクセルの文書ファイルなどが添付されていることが多く、開いて一定の操作を行うと外部からマルウェア本体をダウンロードして来て感染してしまう。添付型のメールは、先月27日に「12月度発注書送付」などの件名でばらまかれたメールが最後で、年明けはまだ確認されていない。防御方法などは末尾に挙げた関連記事(セキュリティトピックス)の『危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法』を参照していただきたい。

 ダウンロード型は、メールのリンクをクリックすると、拡張子「.js」のスクリプトファイルか、それを入れた拡張子「.zip」の圧縮フォルダ形式のファイルがダウンロードされる。スクリプトファイルを実行すると、外部からマルウェア本体をダウンロードして来て感染してしまう仕掛けだ。このタイプは、先月29日の楽天カードを装う「カード利用のお知らせ」という件名のメールを最後にしばらく停止していたが、今月16日に再開。同じ件名でほぼ同じ内容のメールが、16、17、23日にばらまかれた。本物の差出人に偽装した精巧なメールなので、騙されてクリックしないよう注意していただきたい。リンクにマウスポインターを重ねる、右クリックメニューでURLをコピーするなどの方法で、事前にリンク先を確認すると、URLが楽天カード「rakuten-card.co.jp」とは無関係なサイトであることがわかる。

■アップルのフィッシングメールも再開

 不正送金マルウェアの拡散メールを送っているボットネットは、昨年10月以降、「あなたのApple IDのセキュリティ質問を再設定してください。」という件名のアップルのフィッシングメールもばらまいている。JC3のサイトでは、ウイルスメールと一緒にこのフィッシングメールも逐次報告している。

 アップルをかたるフィッシングメールは、複数の攻撃者が入れ代わり立ち代わり、連日何種類ものメールをばらまいている。その中のひとつがこの件名のメールだが、先月28日を最後に一時休止していた。他のアップルのフィッシングメールが、年明け2日から次々に再開するも休止状態が続いていたが、マルウェアメール再開の翌週、フィッシングメールも再開してしまった。

 22日にばらまかれたフィッシングメールは、これまでと同様、岐阜や静岡から不正アクセスがあったことを知らせる内容で偽サイトへと誘導しようとするもの。差出人の表示名やメールアドレスを本物に偽装しているので注意が必要だ。リンク先を確認すれば、公式サイトの「apple.com」や「icloud.com」ではないことがわかる。ただし、「apple」や「icloud」の文字を織り込んだ紛らわしい名前を使用しているので、うっかりすると見間違えてしまうかもしれない。

 本物と違い暗号化通信に対応していないので、URLの最初が「https://」ではなく「http://」と「s」がないところもポイントだ。リンクをクリックすると、本物のAppleアカウントの管理ページそっくりに作られた偽のログインページが登場するが、本物と違い、アドレスバーに錠前マークや「Apple Inc.」という運営者名は表示されない。

(2018/01/24 セキュリティ通信)

【関連記事】
・インターネットバンキングマルウェアに感染させるウイルスメールに注意(JC3)
https://www.jc3.or.jp/topics/virusmail.html
・サイバー救急センターレポート 第1号(ラック)
https://www.lac.co.jp/lacwatch/report/20171124_001430.html
・[更新] Apple をかたるフィッシング (2018/01/23)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/apple_20180123.html

【関連記事:セキュリティ通信】
・メール経由で不正送金マルウェアの感染拡大、被害急増――警察庁が注意呼びかけ
http://security-t.blog.so-net.ne.jp/2017-12-12
・マルウェアメールのばらまきが止まらない――実在企業かたり、クリック誘う
http://security-t.blog.so-net.ne.jp/2017-12-11
・実在企業装うマルウェアメール頻発――ダウンロード型、添付型それぞれの手口
http://security-t.blog.so-net.ne.jp/2017-11-28
・実在企業装うマルウェアメールに注意、リンクのクリックで感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-11-08
・クレカの請求案内装うマルウェアメールに注意――明細確認で感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-10-24
・「詳しくはこちら」クリックに注意――自然な日本語のマルウェアメールが続々
http://security-t.blog.so-net.ne.jp/2017-10-12-1
・実在企業装うDL型マルウェアメール相次ぐ――リンク先クリックで感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-09-29

【関連記事:セキュリティトピックス】
・危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法
http://www.so-net.ne.jp/security/news/newstopics_201708.html

bnr_300×250_危険サイトブロック.jpg
自分はウイルス被害にあわないと思っていますか?|So-net