請求書やFAX通知に見せかけた実在する企業をかたるメールが、10月27日頃から不特定多数宛てに大量にばらまかれている。うっかり添付ファイルを開くと、パソコンがマルウェア(ウイルス)に感染してしまう恐れがある。
10月27日朝から30日朝までにばらまかれた不審なメールは、請求書に見せかけたものが4種類、FAXの受信通知に見せかけたものが1種類あった。送信元に偽装された企業をはじめ、セキュリティ機関や企業が注意を呼びかけている。不審なメールの概要と各社の呼びかけは以下の通り。
■不審なメールの概要と各社の呼びかけ
○件名:請求書
・偽装送信元:石川県の建設会社「トーケン」
・添付ファイル:2610-099189.doc
<注意喚起>
・ご注意!! 架空メール対応について!!
http://www.token-web.com/info/%e2%80%bb%e7%b7%8a%e6%80%a5%e3%80%80%e5%bd%93%e7%a4%be%e3%81%8b%e3%82%89%e8%bf%b7%e6%83%91%e3%83%a1%e3%83%bc%e3%83%ab%e3%81%ae%e5%af%be%e5%bf%9c%e3%81%ab%e3%81%a4%e3%81%84%e3%81%a6/
・架空メール ウィルス情報について!!
http://www.token-web.com/info/%e2%80%bb%e3%80%80%e6%9e%b6%e7%a9%ba%e3%83%a1%e3%83%bc%e3%83%ab-%e3%82%a6%e3%82%a3%e3%83%ab%e3%82%b9%e6%83%85%e5%a0%b1%e3%81%ab%e3%81%a4%e3%81%84%e3%81%a6/
○件名:タンケンー請求書(小)の件です。
・偽装送信元:神奈川県の印刷会社「日東印刷」
・添付ファイル:10280.doc
<注意喚起>
・弊社になりすました虚偽メール(ウィルス付)配信の件
http://nitto-pri.co.jp/
○件名:ファックス受信完了: Fax Received
・偽装送信元:東京都のレンタルオフィス「サーブコープ」のオンラインFAXサービス
・添付ファイル:2F4A8C1B-9DB6-4749-AA9C-9ED67A419132-574-IF.doc
○件名:【請求書】One Harmonyシステム利用料の送付
・偽装送信元:東京都のホテル「ホテルオークラ」
・添付ファイル:15030000138-0299.zip
<注意喚起>
・架空請求メールにつきまして
http://www.okura-nikko.com/jp/ohm/info/
○件名:日宣様宛請求書をお送りします
偽装送信元:東京都の出版社「三栄書房」
添付ファイル:2015-10-29-002903.doc
<注意喚起>
・迷惑メールにつきまして
http://www.sun-a.com/news/detail.php?nid=265
これら不審なメールには、大きく分けると2形式のファイルが添付されていた。ひとつは、マイクロソフトのワープロソフト「ワード」の文書ファイル(.doc)。もうひとつは、PDFファイルに見せかけたマルウェア本体を、ZIPファイルに入れたもの(.zip)だ。
■自動実行マクロが入ったワード文書
27日と30日にばらまかれた4種類のメールには、「ワード」の文書ファイルには、ワードのプログラミング機能を悪用したマクロが仕掛けられていた。文書ファイルを開いてこのマクロが実行されると、外部からパソコン内に常駐するマルウェア本体をダウンロードし、パソコンに感染させる仕組みだ。
レンドマイクロの公式ブログによると、27日にばらまかれたトーケン、日東印刷、サーブコープの3件の添付ファイルは、ネットバンキングの認証情報を狙うオンライン銀行詐欺ツール「SHIZ」をダウンロードして来るという。ワードの標準設定では、ユーザー自身が明示的に許可しないとマクロは実行されないようになっている。マクロを含む文書は、「セキュリティの警告」を表示してマクロの実行をブロックするので、自身で有効化しなければ感染することはない。
IBMの「Tokyo SOC Report」によると、検知した不審なメール約1万8千件中30件で、マルウェアのダウンロードが検知されたという。有効化してしまったり、警告なしで実行するように設定を変更していたりするユーザーがいたのだ。ワードのマクロ設定を確認するとともに、添付ファイルのマクロは有効化しないことを心がけたい。
ワードのマクロ設定は、[ワードのオプション]から[セキュリティセンター] を開き、[セキュリティセンターの設定]ボタンを押すと確認できる。既定値の「警告を表示してすべてのマクロを無効にする」が選択されていると、セキュリティの警告が表示される。「警告を表示せずにすべてのマクロを無効にする」を選択すると、マクロを完全に無効化し警告も出なくなる。マクロを利用する必要のない方は検討してみてはいかがだろうか。
■PDFファイルに見せかけた実弾入りZIP
28日にばらまかれた、ホテルオークラOne Harmony事務局を装った請求書メールには、マルウェア本体を格納したZIPファイルが添付されていた。ZIPファイルは、ひとつまたは複数のファイルやフォルダを圧縮してひとつにまとめたファイルで、Windowsでは「圧縮フォルダー」と呼んでいるもの。
添付されたZIPファイルの中には、アイコンと二重拡張子でPDFファイルに偽装した「15030000138-0299.pdf.exe」というファイルが入っており、ユーザーがこれを実行すると感染してしまう。トレンドマイクロのブログによると、情報窃取、ダウンローダ活動、USBワーム活動などを行うという。
偽装した実弾入りの圧縮ファイルは、メールに添付する際によく使われる手法で、フォルダ表示を「詳細」以外のアイコンや一覧に設定している方や、Windowsの標準機能を使わずにZIPファイルの表示や解凍を行っている方は、特に注意していただきたい。
フォルダを「詳細表示」にしていれば、「ファイルの種類」の欄でこのファイルがPDFを示す「Adobe Acrobat Document」ではなく、プログラムを示す「アプリケーション」になっていることが確認できる。Windowsの標準機能を使用している場合には、ZIPファイル(圧縮フォルダー)の中身も同様の表示だ。ファイルの種類は、ファイルを選択して右クリック、または[ファイル]メニューを開き、[プロパティ]を選択しても確認できる。詳細表示にしていない方は、ファイルを開く前に必ず確認していただきたい。
一部の圧縮解凍ソフトを使用している場合には、ファイルの種類が確認できなかったり、アイコンや二重拡張子の偽装に騙されてしまったりすることがある。中身を実行する際に、セキュリティの警告が出ないこともあるので注意したい。
(2015/11/02 ネットセキュリティニュース)
【関連URL】
・ネットバンキングを狙う偽装メールが再来:今回は「請求書」と「ファックス受信」(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/12415
・日本国内の実在する企業を騙った不正なメールを広域で検知(IBM Tokyo SOC)
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/mail_20151028?lang=ja
・注意喚起:悪意あるWordファイルが添付された日本語メールについて(Kaspersky)
https://blog.kaspersky.co.jp/alert-japanese-emails-with-malicious-docs/9322/
・更新:【注意喚起】特定の組織からの注文連絡等を装ったばらまき型メールに注意(IPA)
https://www.ipa.go.jp/security/topics/alert271009.html