So-net無料ブログ作成

ボットネットが大規模にばらまく悪質な迷惑メールに注意 [迷惑メール]

 8月中旬からしばらく途絶えていたボットネットを使った大規模な迷惑メールの配信が、10月下旬に再開した。マルウェア(ウイルス)メールにはじまり、今月に入ってからはフィッシングメールがばらまかれ、先週からはセクストーション(性的脅迫)メールの配信も始まった。

 「ボット」とは、感染端末を遠隔操作するマルウェアのこと。このボットに感染した端末で構成したネットワークに指示を出すことで、感染端末がさまざまな悪事の手先となって働く。その悪行のひとつに迷惑メールの配信がある。

 ボットネットのひとつに故意に感染させた端末を潜入させることで、攻撃を把握しようという試みが、警視庁などの手で2016年から行われており、把握したメールの件名や本文などの情報が、日本サイバー犯罪対策センター(JC3)のWebサイトで逐次公開されている。

 開始以来、大規模なばらまきが頻繁に行われ、そのたびに詳細な情報の掲載が続いていたが、今年8月8日の報告を最後にぷっつりと途絶えた。2か月余りの沈黙が続いた後、10月24日、マルウェアメールの配信で途絶えていたメールのばらまきが再開した。今月12日にはフィッシングメールの配信も再開し、20日からは、新たにセクストーションメールの配信も始まった。これまでの経緯から、再び高頻度で大量のメールのばらまきが続くことが予想されるので警戒していただきたい。

■マルウェアメール――「添付型」と「ダウンロード型」を併用

 ボットネットの監視は、国内オンラインバンキングの不正送金に使われている「バンキングマルウェア」の拡散状況を把握し、注意を喚起する目的でスタートした。2016年の情報提供開始以来、マルウェアメールの配信は高頻度で続いている。当初の手口は、マルウェアに感染させるための細工したファイルを添付した、添付型のメールばかりだったが、2017年9月以降は、添付する代わりにメール内のリンクをクリックさせるダウンロード型も併用されるようになった。

 10月の再開後も、マイクロソフトの表計算ソフト「エクセル」やワープロソフト「ワード」の文書ファイルを使った添付型と、ダウンロード型が併用されている。ダウンロード型は、NTT-X Storeの商品発送メールや楽天市場の注文受け付けメールというように、実在する企業からのメールを装うものが使われており、身に覚えのないユーザーが思わずクリックしてしまいそうな精巧な内容だ。

 添付型、ダウンロード型ともに、ファイルを開かなければマルウェアに感染することはない。また、ファイルを開こうとすると、あるいは開いた後に何らかの警告が出るので、そこで操作を止めれば感染に至らずに済む。攻撃者は、警告を無視して操作させるよう誘導するので、騙されないよう注意したい。

■フィッシングメール――金銭目的で「アップル」「マイクロソフト」装う

 フィッシングメールは、アップルとマイクロソフトを装うものが、このボットネットを通じて配信されている。いずれも、本物そっくりに作られた偽サイトにログインさせ、クレジットカード情報などを騙し取る金銭目的のフィッシングだ。

 アップルを装うメールは、アカウントの回復や検証、セキュリティの質問の再設定を求める内容で、「Apple IDアカウントを回復してください」「あなたのアカウントは閉鎖されます」「あなたのApple IDのセキュリティ質問を再設定してください」などの件名で2017年10月からばらまかれている。今月16日の再開後も、同様のものが使われている。

 マイクロソフトを装うメールは、「Microsoftアカウントの不審なサインイン」という件名で、オフィスのプロダクトキーが不正コピーされたからライセンス認証するよう求める内容のもの。2017年1月から度々行われているフィッシングだが、今年3月に2回だけ、JC3からの情報提供があった。

■セクストーションメール――アダルトサイト閲覧を脅しに仮想通貨要求

 アダルトサイトを閲覧していることを暴露すると脅し、仮想通貨の支払いを要求する詐欺メールの日本語版が、9月半ばから頻繁に届くようになった。11月に入り、やや落ち着いたかに見えた矢先、ボット経由と見られる新たな脅迫メールがばらまかれた。JC3のWebサイトでは、「あなたのパスワードが侵害されました」という件名のメールが20日から29日にかけて計4回報告されている。

 送信元が自分のメールアドレスになっているこのメールには、自分はメールとデバイスをクラックしたハッカーだと書かれており、デバイスに仕掛けたトロイの木馬で、親密なコンテンツのサイトを閲覧している写真を撮ったと主張。連絡先に送信されたくなければ、ビットコインで600ドルまたは700ドルを支払うよう要求する。

 9月から続いていた同様の攻撃では、日本語メールの支払先のアドレス(口座)に1千万円以上が送金された。ただし、多額の支払いがあったアドレスは英文メールなどでも使われているため、国内の被害額は分からない。日本語メールへの記載しか確認できないアドレスあてには、0件から数件の送金しかないので、国内の被害は、あまり多くはないようだ。

 ちなみにJC3の報告にある脅迫メールでは、最初のメールに記載された送金先に2件、0.3196BTC(現在のレートで約1363ドル、約15万5273円)の送金があったものの、その後の送金は確認されていない(11月30日昼時点)。同様のメールが届いても、決して要求には応じないでいただきたい。心配な方は、最寄りの消費生活相談窓口を紹介してくれる「消費者ホットライン」(電話番号「188」番)や、「警察相談電話」(短縮ダイヤル「#9110」番)に電話をかけると、いつでも無料で相談にのってくれる。

(2018/11/30 セキュリティ通信)

【関連URL】
・犯罪被害につながるメール(JC3)
https://www.jc3.or.jp/topics/virusmail.html
【関連記事:セキュリティ通信】
・不正送金ウイルスメール情報を警視庁が事前キャッチ、Twitterで注意喚起
https://security-t.blog.so-net.ne.jp/2016-11-08
・「仮想通貨を要求する日本語の脅迫メール」出回る、騙されて送金しないよう注意
https://security-t.blog.so-net.ne.jp/2018-09-21
・2018年3月の国内フィッシング事情~大量にばらまかれたフィッシングメール
https://security-t.blog.so-net.ne.jp/2018-04-20
楽天市場など装い偽サイトに誘導する「ダウンロード型マルウェアメール」に注意
https://security-t.blog.so-net.ne.jp/2018-03-23
・マイクロソフト装うフィッシングが再襲来――「偽メール、偽サイト」の見分け方
https://security-t.blog.so-net.ne.jp/2018-03-22-1
・マルウェアメールが活発化、メールの添付ファイルやリンクに注意
https://security-t.blog.so-net.ne.jp/2018-01-24


bnr_300×250.png
<カスペルスキー セキュリティ>月額利用料金最大3カ月無料キャンペーン中!詳しくはこちら|So-net

この広告は前回の更新から一定期間経過したブログに表示されています。更新すると自動で解除されます。