先週の17日ごろから日本語のマルウェアメールが出回っており、警視庁やセキュリティ企業が注意を呼びかけている。メールは、さまざまな件名で送られており、3日間続いて終息したが、今朝から再びばらまき始めたようだ。
警視庁の注意喚起は、ネットバンキングの不正送金に使われるマルウェアを添付したメールの配信を早期に認知し、Twitterアカウントで早期警戒情報を発信する取り組みとして行われているもの。警視庁犯罪抑止対策本部のTwitterアカウントでは送られて来るメールの件名を公開しており、同庁からの情報提供を受けた日本サイバー犯罪対策センター(JC3)のWebサイトでは本文や添付ファイル名も合わせて公開している。
17日から23日昼過ぎまでに公開されたマルウェア付きメールの件名は以下のとおり。写真や請求書、注文書などの添付ファイル付きのメールが届いたら、うっかり開かないよう注意したい。
・事故状況
・事故写真です
・JPG[1/8]
・写真を添付致します
・添付致し
・写真
・写真のみ 不足し
・写真 ご送付いただきまして ありがとうございます
・様写真
・様写真お送りします
・R e:写真ありがとうございます
・積算書
・の注文ありがとうございます
・ダイレクトメール発注
・注文書・注文請書
・添付写真について
・Fwd: New Order AAAA-17-000 Shipping by "DHL"
・御請求書
・取引情報が更新されました
・【発注書受信】
・備品発注依頼書の送付
・依頼書を
・送付しますので
・発注依頼書
・(株)発注書
■添付ファイルはダウンローダー入りのZIPファイル
メールの添付ファイルは、いずれもWindows上で「圧縮(zip形式)フォルダー」という種類で識別される、拡張子が「.ZIP」のファイルだ。このファイルは、ひとつまたは複数のファイルを圧縮し、ひとつのファイルの中に収めたもので、中には、拡張子が「.js」の「JavaScriptファイル」や、拡張子が「.svg」の「SVG ドキュメント」が入っている。これらは、Windowsユーザーが開くことを想定したもので、他の環境で開いても影響はない。
ちなみに前者は、JavaScriptという言語で書かれたプログラム(JScript)で、標準ではWindowsの実行環境WSH(Windows Script Host)が実行する。後者は、XMLという言語で書かれたSVG(Scalable Vector Graphics)という画像ファイルで、標準ではInternet Explorerが実行する。これらを開いて実行してしまうと、ネットバンキングの不正送金に使われるマルウェアUrsnif(別名Gozi)を外部からダウンロードし、感染させてしまう。
マルウェアやURLのオンラインスキャンサービス「VirusTotal」の当該マルウェアにつけられた17日時点のコメントによると、りそな銀行、近畿大阪銀行、みずほ銀行、新生銀行、三菱東京UFJ銀行のネットバンキングを標的にしているという。
■拡張子やファイルの種類に注意
一連の添付ファイルの中身は、「ファイル名.doc.js」や「ファイル名.jpg.svg」というように拡張子が二重になっており、拡張子を表示しない環境では、それぞれ「ファイル名.doc」「ファイル名.jpg」に見えてしまう。ドキュメントファイルや画像ファイルに勘違いさせ、開かせようとする偽装工作だ。
標準設定のWindowsは、ファイルの種類や拡張子を表示しないため、この偽装工作に騙され、うっかり開いてしまうかもしれない。末尾の関連記事『アイコンやファイル名に騙されないために―「拡張子」「種類」を表示する方法』を参考に、設定を変更しておくことをお勧めする。
(2017/01/23 ネットセキュリティニュース)
【関連URL】
・警視庁犯罪抑止対策本部 Twitterアカウント(@MPD_yokushi)
https://twitter.com/MPD_yokushi
・インターネットバンキングマルウェアに感染させるウイルス付メールに注意(日本サイバー犯罪対策センター)
https://www.jc3.or.jp/topics/virusmail.html
・2017年もマルウェアスパムの攻撃は継続中、新たな「火曜日朝」の拡散を確認(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/14296
・情報搾取型マルウェア「Ursnif」感染を狙った多種の日本語メールによる攻撃に注意(キヤノンITソリューションズ)
https://eset-info.canon-its.jp/malware_info/news/detail/170119_2.html