総務省と一般社団法人ICT-ISACは10月31日、マルウェア感染の注意喚起と除去ツールの配布を行うACTIVE活動の偽メールが出回っているとして、注意を呼びかけた。指示に従って除去ツールを実行すると、マルウェアに感染するという。
ACTIVE(Advanced Cyber Threats response InitiatiVE)は、総務省とISP、セキュリティ企業などが協力し、2013年から実施しているマルウェア(ウイルス)対策プロジェクトのこと。この活動のひとつに、マルウェア感染端末のユーザーに感染を知らせ、駆除方法案内する「マルウェア駆除活動」がある。
問題の偽メールは、昨年4月から実際に行われた、国内のネットバンキングを標的とするマルウェア「VAWTRAK」感染端末のユーザーに対する注意喚起の取り組みを真似たもの。「一般社団法人ICT-ISAC セキュリティ本部」をかたり、「【重要】総務省共同プロジェクト インターネットバンキングに係るマルウェアへの感染者に対する注意喚起および除去ツールの配布について」という件名のメールを送り付けるという。メールの本文は、本物と見紛うまともな日本語で書かれており、マルウェア(VAWTRAK)に感染しているので、メールの添付資料に記載されている手順に従って除去するよう促す。
フトバンク・テクノロジーの辻伸弘氏の個人サイト「(n)inja csirt」で公開している調査資料によると、添付資料には、セキュリティソフトやWindows Difenderをすべて停止させ、指定したURLから「マルウェア(VAWTRAK)除去ツール.zip」をダウンロード→展開→実行するよう促す内容だ。この添付ファイルもまともな内容なので、信じてしまうかもしれない。指示通りに操作すると、ファイルの暗号化とハードディスクの暗号化機能を持つ、身代金要求型のマルウェア「ランサムウェア」に感染するという。
ACTIVEのマルウェア駆除活動では、感染端末が見つかると該当端末が接続しているプロバイダに情報を提供し、プロバイダがユーザーを特定して注意喚起を実施する。ICT-ISACが直接連絡することはないので、偽メールに騙されないよう注意していただきたい。
(2016/11/02 ネットセキュリティニュース)
【関連URL】
・「一般社団法人 ICT-ISAC」名で発信されたマルウェア感染に係る注意喚起及び除去ツールの配布に関する不審なメールにご注意ください。(総務省)
http://www.soumu.go.jp/menu_kyotsuu/important/kinkyu02_000251.html
・[注意喚起]当法人になりすました偽メールについて(ICT-ISAC)
https://www.ict-isac.jp/news/news20161031.html
・【注意喚起】ACTIVE活動に関する偽メールについて(ACTIVEプロジェクト)
https://www.active.go.jp/active/news/info/entry-254.html
・ICT-ISACを騙った偽メール調査メモ((n)inja csirt)
http://csirt.ninja/?p=991
・マルウェア駆除活動について(ACTIVEプロジェクト)
http://www.active.go.jp/active/removal.html
・「【重要】マルウェア(ウイルス)駆除のお願い」というメールが届いた(So-net)
http://faq.so-net.ne.jp/app/answers/detail/a_id/3085