添付ファイルを開かせてマルウェア(ウイルス)に感染させようとするメールが、相変わらず不特定多数にばらまかれている。日本サイバー犯罪対策センター(JC3)からは注意喚起が出ていないためか、話題になっていないようだが、引き続き警戒していただきたい。感染すると、ネットバンキングの不正送金被害に発展するおそれがある。
問題のマルウェアメールは、当通信の今月20日の記事「Excelファイルの添付メールに注意、マルウェア感染のおそれ」でお伝えした攻撃の続きと思われるもの。国内のネットバンキングの不正送金に使われている、バンキングマルウェア「Ursnif」(アースニフ:別名Gozi、ISFB、DreamBotなど)に感染させようとするメールだ。
JC3や警視庁の告知は19日送信のメールで途絶えているが、その後も「日本郵便追跡サービス」を騙るメールが20日頃から昨日まで、今日は「ジャパントラストの佐々木」を騙るメールがばらまかれたようだ。電気通信大学情報基盤センターのお知らせでメールの詳細が紹介されているほか、セキュリティベンダーのTwitterでも注意が呼びかけられている。
なお、電気通信大のお知らせでは、「標的型攻撃メール」と呼んでいるが、実際には同学の学生や関係者だけではなく不特定多数に送られる「ばらまき型メール」なので注意していただきたい。同学に無関係の、あなたのメールボックスにも舞い込んでくる可能性がある。
■添付ファイルを開けさせる騙しの手口
前述の「日本郵便追跡サービス」を騙るメールは、「日本郵便追跡サービス 数桁の数字」という件名で、配達員が商品を配達できなかったので、メールに添付した委託運送状を印刷して郵便局に問い合わせるよう指示する。これまでに幾度も使われた手口だが、それらしい内容なので騙されてしまうかも知れない。メールには「日本郵便追跡サービス_数桁の数字」という、それらしいファイル名の圧縮フォルダー(拡張子.zip)やワードの文書ファイル(拡張子.docx)が添付されている。
前述の「ジャパントラストの佐々木」を騙るメールは、実在する企業(個人名は架空)を騙る「Re:【お振込口座変更のご連絡】」という件名のメールで、振込口座を変更したいといって「新振込先について_数桁の数字.zip」という添付ファイルを開かせようとする。日本郵便のように万人向けではないものの、受信者の状況次第ではうっかり開いてしまうかもしれない。6月には、同一の内容でワードの文書ファイル(拡張子.doc)を添付したメールがばらまかれたようだが、今回はzipファイルとのことだ。電気通信大のお知らせでは、ほかに同じ個人名義で送られた日本郵便追跡サービスと同じ内容のメールも紹介されている。
■感染対策――アップデート実施と「拡張子」「種類」の表示
添付ファイルを開く前に偽のメールであることに気付くことができればよいが、騙されて開いてしまったからといって、直ちにマルウェアに感染してしまうわけではない。
システムやアプリの欠陥を悪用した感染攻撃は、その欠陥を修正することで防ぐことができる。修正前に悪用されてしまうと防御は困難だが、アップデートを欠かさず行い常に最新の状態にしておくことで、修正済みの欠陥は悪用できなくなり感染を防ぐことができる。
ユーザー自身に実行させる感染攻撃については、開く前にファイルの拡張子や種類を確認することと、警告が表示された場合は操作を止めることを履行すれば回避できる。標準設定のWindowsは、拡張子や種類が非表示なので、下欄「関連記事」に挙げた『アイコンやファイル名に騙されないために―「拡張子」「種類」を表示する方法』を参考に、設定を変更していただきたい。
■感染対策――危険な「スクリプトファイル」の場合
添付されたzipファイルには、どちらも中にJavaScriptファイル(拡張子.js)が入っているそうだ。スクリプトは、さまざまな指示を書いたプログラムの一種で、高度な機能をサポートするスクリプトを使うと、マルウェア本体をダウンロードして来てシステムに感染させることもできる。素性を知らずに開いてはいけない、危険なファイルなのだ。
Windowsが標準サポートするスクリプトファイルには、JavaScriptファイル(.js)のほかにVBScript Scriptファイル(.vbs)や、これらをエンコードしたJScript Encoded Scriptファイル(.jse)、VBScript Encoded Scriptファイル(.vbe)、Windows Scriptファイル(.wsf)、Windows PowerShellスクリプト(.ps1)などもある。マルウェア本体が潜んでいるアプリケーション(.exe)やスクリーンセーバー(.scr)と同様に、取り扱いに注意しなければいけない。
メールの添付ファイルやインターネット上からダウンロードしたファイルの場合には、セキュリティの警告が出るので(場合によっては出ないこともある)、気付かずに開いてしまった場合は直ちに操作を中止していただきたい。
なお、スクリプトの実行にショートカット (.lnk)や、MS-DOSプログラムへのショートカット(.pif)が使われることもある。これらは、拡張子を表示するように設定していてもエクスプローラーが表示しないので注意していただきたい。これらも危険を伴うファイルなので、拡張子だけでなくファイルの種類も確かめていただきたい。
■感染対策――文書ファイル(Excel、Word)の場合
直近の攻撃ではExcelワークシート(.xls .xlsmなど)、今回の攻撃ではWord文書(.doc .docxなど)と、添付ファイルにMicrosoft Officeの文書ファイルが使われることも多い。これら文書ファイルは、アプリの処理を自動化する「マクロ」と呼ばれるプログラム機能や、文書内に他のファイルを埋め込む機能をサポートしており、これらがしばしばマルウェア感染に悪用される。開いただけでは何も起きないが、誤って操作してしまうと感染活動が始まるので注意していただきたい。
Office製品には、インターネットからダウンロードしたファイルを安全に開くために、閲覧以外のほとんどの機能を無効にした「保護ビュー」という機能を用意している。メールソフトやブラウザが、ネット上から取得したファイルであることを示す「ZoneID」という情報を付加している場合には、文書ファイルを開くと、規定でこの保護ビューが使用されるようになっている。メッセージバーに「保護ビュー 注意-インターネットから入手したファイルは、ウイルスに感染している可能性があります。編集する必要がなければ、ほぼビューのままにしておくことをお勧めします。」と表示される。この状態であれば、マクロも埋め込みも無効だ。「編集を有効にする」をクリックすると保護ビューが解除されるので、安全であることが分かっている場合以外は、絶対にクリックしてはいけない。
マクロが含まれている場合には、保護ビューを解除するとメッセージバーに「セキュリティの警告 マクロが無効にされました。」と表示される。既定ではマクロを実行しないようになっているのだ。「コンテンツの有効化」 をクリックするとマクロが有効になるので、実行しても安全であることが分かっている場合以外は、絶対にクリックしてはいけない。
(2017/07/26 ネットセキュリティニュース)
【関連URL】
・【2017/7/24 10:40】標的型攻撃メールに関する注意喚起(電気通信大学)
https://www.cc.uec.ac.jp/blogs/news/2017/07/20170724mailwaremail.html
・【2017/7/25 10:01】標的型攻撃メールに関する注意喚起(電気通信大学)
https://www.cc.uec.ac.jp/blogs/news/2017/07/20170725mailwaremail.html
・ マルウェア情報局(キヤノンITソリューションズ)からの注意喚起ツイート
https://twitter.com/MalwareInfo_JP/status/889426565452267521
・ カスペルスキー公式からの注意喚起ツイート
https://twitter.com/kaspersky_japan/status/889658045336363008
・(6月の攻撃)【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起(FFRI)
http://www.ffri.jp/blog/2017/06/2017-06-13.htm
【関連記事:ネットセキュリティニュース】
・Excelファイルの添付メールに注意、マルウェア感染のおそれ(2017/07/20)
・請求書を装うマルウェアメールに注意、Excelマクロでマルウェア感染(2017/06/05)
・さまざまな件名で届く「バンキングマルウェア」メール――感染しないチェック法(2017/05/26)