So-net無料ブログ作成
  • ブログをはじめる
  • ログイン

マルウェアメールに注意、警告が出たらSTOP!! [ウィルス/不正アクセス]

 添付ファイルやダウンロードファイルを使ってマルウェア(ウイルス)に感染させようとするメールが後を絶たない。不審なファイルやリンクを開かないつもりでいても、うっかり開いてしまいそうなものもある。警告が表示されたら、それ以上先に進んではいけない。

 日本サイバー犯罪対策センター(JC3)では、正送金やクレジットカードの不正使用などの被害につながるマルウェアメールが大量にばらまかれるのを早期に把握し、件名や本文などを逐次ホームページで公表している。マルウェアメールには、メールに添付したファイルを開かせるタイプと、メール内のリンクをクリックしてダウンロードしたファイルを開かせるタイプとがあり、発表からは、毎月数日間、平日にばらまかれていることがわかる。

 どちらのタイプも、ユーザー自身がファイルを開くことで感染する。メールを開く前やファイルを開く前に不審であることに気付けば感染することはないが、不審とは思わずに開いてしまってもまだ大丈夫だ。慌てず、次のように対処していただきたい。

■感染対象はWindowsパソコン

 マルウェアメールの多くは、ユーザーが多いWindowsパソコンを標的としている。JC3のサイトに掲載されているメールについては、全てWindowsが標的なので、Macやスマートフォンで操作しても感染することはない。影響する場合にも、何らかの警告が出るので、警告が出たら操作を止めるようにすれば、マルウェア感染は回避できる。

■警告が出たら作業中止

 警告の表示は、「ダウンロード時」、「ファイルを開く時」、「ファイルを開いた後」のどこかで、場合によっては「全てのタイミングで」表示される。JC3の「不正送金等の犯罪被害につながるメールに注意」で紹介されている最新メール(8月9日昼現在)を例に見てみよう。

 8月8日に送信されたこのメールは、「写真」「プロジェクト」「支払い」「資料」「インボイス」「請求・支払データ」「文書」「ご請求額の通知」のいずれかの件名で送られた添付型のマルウェアメールで、「写真を送信致します。」などの本文に、「文書_00000.iqy」または「(000000).00.zip」が添付されている。写真が添付されているらしいので、間が悪いと信じて開いてしまうかもしれない。

 拡張子が「.iqy」のファイルは、マイクロソフトの表計算ソフトExcel用のファイルで、Webサイトからデータを取得する際の情報が書かれた「WEBクエリファイル」というもの。拡張子が「.zip」のファイルにも同じものが入っており、こちらには拡張子「.jpg」の無害な画像ファイルも同梱している。

<警告1>
 問題のWEBクエリファイルは、ネット上に掲載されている株価情報などを、Excelの表に取り込みたい時などに使われていたもので、中身はデータの取得先サイトのURLなどが書かれたテキストファイルだ。それ自体は無害だが、この機能が悪用されると、Excelが実行することで問題を生ずるおそれがある。

 標準設定のExcelは、こうした危険を警告するために、外部コンテンツに接続する際には確認メッセージを表示するようになっている。WEBクエリファイルを直接開いた場合には、Excelが起動して空白の新規ブックを開き、外部からデータを取り込もうとする段階で「セキュリティに影響を及ぼす可能性のある問題点が検知されました」と書かれた「セキュリティに関する通知」を表示する。ここで[無効にする]をクリックすれば(閉じるボタンも同じ)、外部への接続を中止するので何も起こらない。

<警告2>
 [有効にする]をクリックしてしまうと、ExcelはWEBクエリファイルに書かれたサイトから、データを取り込もうとする。ところが無効な内容なので取り込めず、「外部データにアクセスできません」というメッセージを表示する。このメッセージには、「このデータにアクセスするには他のアプリケーションを開始する必要があります。ただし、お使いのコンピュータ上の適正なアプリケーションであっても、ウイルスを送信したり、コンピュータに損害を与えるような安全でない操作に利用される場合があります。このブックの作成元が信頼でき、ブックによってアプリケーションが開始されるのを許可する場合のみ [はい] をクリックしてください。」「アプリケーション 'CMD.EXE' を実行しますか?」とも書かれている。
 かなり物騒な内容なので、[はい]を押してしまう方はいないと思うが、[はい]を押すと感染活動が始まる。[いいえ]を選択すれば感染することなく処理は中止する。

 ちなみにメッセージに書かれている「CMD.EXE」というのは、プログラムなどを文字入力ベースで実行する「コマンドプロンプト」のこと。WEBクエリが外部から取得して来たのは、このコマンドプロンプト上で、Windowsの標準機能であるPowerShellを使い、外部からマルウェア本体をダウンロードして実行する内容だったのだ。

 一連のマルウェアメールには、このほかにもExcelの文書ファイルそのものや、それが入ったzipファイルが添付されたものが多い。リンクをクリックした場合には、実行型のプログラムファイルやそれが入ったzipファイルもよく使われている。開く前に怪しいことに気付くことができればそれに越したことはないが、誤って開いてしまっても慌てずに対処していただきたい。

 セキュリティアップデートを欠かさず適用していれば、ファイルやサイトを開いただけで感染してしまうようなことは、ほぼ起きない。何らかの警告が出るので、そこで立ち止まっていただきたい。詳しくは末尾に挙げた関連記事(セキュリティトピックス)の『危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法』を参照していただきたい。

(2018/08/09 セキュリティ通信)

【関連URL】
・インターネットバンキングマルウェアに感染させるウイルスメールに注意(JC3)
https://www.jc3.or.jp/topics/virusmail.html
・サイバー情報共有イニシアティブ(J-CSIP) 運用状況[2018年4月~6月]
【参考資料】IQYファイルを悪用する攻撃手口に関する注意点[PDF](IPA)
https://www.ipa.go.jp/files/000068065.pdf
・拡張子”.iqy”のファイルとは?1 日でメール 29 万通が日本国内に拡散(トレンドマイクロ)
https://blog.trendmicro.co.jp/archives/19387

【関連記事:セキュリティ通信】
・楽天市場など装い偽サイトに誘導する「ダウンロード型マルウェアメール」に注意
https://security-t.blog.so-net.ne.jp/2018-03-23
・マルウェアメールが活発化、メールの添付ファイルやリンクに注意
http://security-t.blog.so-net.ne.jp/2018-01-24
【関連記事:セキュリティトピックス】
・危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法
http://www.so-net.ne.jp/security/news/newstopics_201708.html

bnr_300×250.png
<カスペルスキー セキュリティ>月額利用料金最大3カ月無料キャンペーン中!詳しくはこちら|So-net