今月初旬、大手通販サービスからの注文確認通知を装った迷惑メールがばらまかれた。ZIP形式の圧縮ファイルが添付されており、解凍して中身のファイルをダブルクリックすると、ネットバンクユーザーを標的とするマルウェア「WERDLOD」に感染してしまう。
今回ばらまかれたメールは、「Amazon.co.jp」の注文確認メールを装っていた。2014年12月、および2015年2月、6月、8月には「楽天市場」をかたる類似のメールがばらまかれたが、すべてマルウェア「WERDLOD」の拡散をもくろむもので、同じ攻撃者によるものとみられる。
今回の迷惑メールは、件名が「Amazon.co.jp ご注文の確認「[ティファニー]」で始まり、本文は「Amazon.co.jp」という文字列と数字を含む文字列の2行のみだった。添付されていたZIPファイルの中身は、PDFファイルであるかのようにアイコンを偽装したEXEファイル。ファイル名は日付を思わせる文字列を含む「amazon_3_09_2015●」(●は数字)となっている。9日付のトレンドマイクロのブログでこの迷惑メールの例を見ることができる。
トレンドマイクロの情報によると、WERDLODはオンライン銀行詐欺用のツールで、侵入した環境のプロキシ設定を変更し、特定のネットバンキングサイトへのアクセスを不正なプロキシ経由にすることで中間者攻撃を可能とする。同社が今回確認できたものでは、国内の金融機関に関連する23サイトが対象となっていた。
同社では9月3日以降7日までの4日間で、国内の150台以上からWERDLODを検出したという。8月には楽天市場をかたってWERDLODの拡散をもくろむメールが出回っていたが、1か月間で約130台の検出にとどまっている。今回の新手口は大きな影響があったと言える。不用意に添付ファイルを開かないよう十分注意していただきたい。
なお、Amazon.co.jpでは、メールが本当にAmazon.co.jp から送られたものかどうかを識別するための方法がいくつかあるとして、情報を公開している。
(2015/09/14 ネットセキュリティニュース)
【関連URL】
・ネットバンキングを狙う新たなマルウェアスパム「ご注文の確認」(トレンドマイクロセキュリティブログ)
http://blog.trendmicro.co.jp/archives/12206
・Amazon.co.jpからのEメールかどうかの識別について(Amazon.co.jp)
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=201304810