Excelなどの文書ファイルをメールに添付した、添付型のマルウェアメールが度々ばらまかれる中、今度はリンクをクリックさせるダウンロード型のマルウェアメールが相次ぎ報告されている。実在する企業を装う日本語が適正なメールなので、誤ってクリックしないよう注意していただきたい。
先週から始まった一連の攻撃は、商品発送などを装ったメールを不特定多数に送り、メール内のリンクをクリックさせようとするものである。
■実在企業を装って届く「商品発送のお知らせ」「発送連絡」「請求内容確定のご案内」
21、22、27日にばらまかれた「【NTT-X Store】商品発送のお知らせ」という件名のメールは、NTTグループの通販サイト「NTT-X Store」からの商品発送に見せかけたもので、メール内の「詳しくはこちら」をクリックするよう仕向ける。
27日にばらまかれた「「[TRY×3] 【発送連絡】 (送信専用)」という件名のメールは、テマックの通販サイト「トライスリー」を装った同様の手口で、「詳しくはこちら」などのリンクをクリックさせようとする。同日ばらまかれた「[ナデポ]登録受付のご案内」という件名のメールは、ナフコのポイントカード「ナデポカード」の会員登録を装ったもので、登録用URLやお知らせをクリックさせようとする。
28日にばらまかれた「[佐川急便] 請求内容確定のご案内」という件名のメールは、佐川急便の電子請求書発行サポートを装ったもので、請求内容が確定したので確認するよう促す。
■クリックでzipファイルをダウンロード、開くと感染活動スタート
いずれもリンクをクリックすると、リンク先からファイル拡張子が「.zip」の「圧縮フォルダ形式」のファイルがダウンロードされる。zipファイルの中には、「NTT-X Store 注文の詳細内容」「支払い情報をチェック」など、メールの内容に応じたそれらしい名前のファイルが入っている。
これらはアプリなどを開く「ショートカットファイル」と呼ばれるもの。「.lnk」という拡張子が付くが、Windowsエクスプローラー上では、拡張子を表示するように設定していても表示されない。アイコンの左下に矢印が表示されることや、アプリの種類に「ショートカット」と表示されることで識別できるが、うっかり開いてしまうと指定されたアプリなどが実行される。ダウンロードしたショートカットファイルの場合は、「PowerShell」というWindowsの標準機能のひとつを使い、マルウェア本体をダウンロードして実行するコマンドが仕込まれているので、開いてしまうとマルウェアの感染活動が始まる。
標準状態のWindowsは、ネットからダウンロードしたショートカットファイルを開こうとすると、「このファイルを開きますか?」という「セキュリティの警告」を表示するようになっているが、環境によっては問い合わせなしで実行してしまうので注意が必要だ。詳しくは、下記「関連記事」の「セキュリティトピックス」を参照されたい。
(2017/09/29 ネットセキュリティニュース)
【関連URL】
・「NTT-X Store」からの「商品発送のお知らせ」を装うスパムメールにご注意ください【追記あり】(NTT-X Store)
https://help.goo.ne.jp/help/article/2230/
・通販サイト「TRY×3」をかたる、身に覚えのない【発送連絡】メールにご注意ください(テマック)
http://www.temac.jp/information/#sec15
・重要なお知らせ(ナフコ)
http://www.nafco.tv/top/index.html
・佐川急便を装った迷惑メールにご注意ください(佐川急便)
http://www2.sagawa-exp.co.jp/whatsnew/detail/721/
【関連記事:ネットセキュリティニュース】
・請求書メールに注意、添付ファイルでマルウェア感染(2017/09/01)
・うっかり操作でマルウェア感染、IPAが文書ファイルの新たな悪用手口を解説(2017/08/02)
・日本郵便など騙るマルウェアメールに注意――添付ファイルで不正送金ウイルス感染(2017/07/27-2)
・Excelファイルの添付メールに注意、マルウェア感染のおそれ(2017/07/20)
・請求書を装うマルウェアメールに注意、Excelマクロでマルウェア感染(2017/06/05)