最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆アドビ、Acrobat Readerの最新版公開――復活した脆弱性を再修正(2017/08/30) | メイン | ◆マイクロソフトを装うフィッシングに注意――偽物を見破る簡単な方法3つ(2017/09/04) »

2017/09/01

◆請求書メールに注意、添付ファイルでマルウェア感染(2017/09/01)

 添付ファイルを開かせてマルウェア(ウイルス)に感染させようとする、請求書を装うメールが不特定多数にばらまかれているとして、日本サイバー犯罪対策センター(JC3)などが30日、注意を呼びかけた。時を同じくして、アップルを装うマルウェアメールも大量に舞い込んでいる。

■日本語メールの請求書でバンキングマルウェアに感染

 JC3の発表によると、問題のメールは、『請求書「invoice」※』、『請求書※』、『「請求書」※』、『請求書払い※』という件名(※は記号と3桁~6桁の数字)で送られており、「御請求書※.xls」(※は3桁~5桁の数字)というファイルが添付されているという。拡張子「.xls」は、マイクロソフトの表計算ソフトExcelの旧形式の文書ファイルだ。

 インターネット上の解析サイトに投稿された当該ファイルのスキャン結果によると、ファイルには、マクロと呼ばれるExcelのプログラム機能を使い、Windowの標準機能「PowerShell」に外部サイトからマルウェアをダウンロードし実行させる処理が埋め込まれている。実行するのは、国内のネットバンキングの不正送金に使われている、バンキングマルウェアのUrsnif(アースニフ:別名Gozi、ISFB、DreamBotなど)とみられる。

 感染処理は、Excelファイルを開くと自動実行するようになっているが、標準設定のExcelであれば「セキュリティの警告」が表示されるので、開いただけで感染するわけではない。「コンテンツの有効化」ボタンを押すなどしてマクロを有効にすると、感染活動が始まる。

 2010以降のExcelの場合には、「保護ビュー」という特別なモードを使ってインターネット上から取得したファイルを開く。保護ビューではマクロを含むExcelのほとんどの機能が無効なので、「編集を有効にする」ボタンをクリックして保護ビューを解除し、さらに「セキュリティの警告」の「コンテンツの有効化」をクリックしなければ、マクロが実行されることはない。

■アップルを装う英文メールの請求書でランサムウェアに感染

 同じ8月30日には、アップルを装う英文メールも大量にばらまかれている。このメールは、『E-invoice for your order #※』という件名で、「※.7z」というファイルが添付されている(※は10桁の数字)。未確認だが、拡張子が「.zip」の添付ファイルもあるという。英文のメールだが、国内のユーザーの元にも多数届いており、差出人が「APPLE」に偽装されているため、うっかり開いてしまうかもしれない。

 拡張子「.7z」や「.zip」は、ひとつ以上のファイルを圧縮してまとめる圧縮形式のひとつ。ZIP形式は、Windowsが標準でサポートしているが、7Z形式は、このタイプの圧縮形式を扱うアーカイバと呼ばれるアプリをインストールしていなければ開くことができない。添付ファイルの中には、「※.vbs」(※は10桁の数字)というファイルが入っている。拡張子「.vbs」は、VBScriptというプログラムの一種で、Windowsの標準機能WSH(Windows Script Host)がこのプログラムを実行する。

 インターネット上の解析サイトに投稿された当該ファイルのスキャン結果によると、このスクリプトもまた、Windowの標準機能「PowerShell」に外部サイトからマルウェアをダウンロードし実行させるように作られていた。実行するのは、パソコン内のファイルを暗号化して身代金を要求する、ランサムウェアのLockyとみられる。

 インターネット上から取得した実行型のファイルを開こうとすると、システムが「セキュリティの警告」を表示し、開くかどうか確認を求めて来る。ここで「開く」をクリックすると、スクリプトが実行され感染活動が始まる。注意しなければいけないのは、このセキュリティの警告が必ず出るとは限らない点だ。

 Windowsは、ファイルに付いた「ZoneID」というマークを使って、インターネット上から取得したものかどうかを識別している。このZoneIDは、ファイルを取り扱うアプリが必要に応じて付加する。今回の事例では、添付ファイルをダウンロードするメールソフトと、それを開くアーカイバがZoneIDに対応していないと、ZoneIDが欠落してしまい、開くとセキュリティの警告なしで実行してしまう。例えば、ZoneIDに対応していないアーカイバ「Lhaplus」をインストールしていると、ZIP形式や標準では扱えない7Z形式のファイルをLhaplusが処理するようになる。添付ファイルの中のVBSファイルを開くと、警告なしで感染活動が始まってしまう。

■添付ファイル型マルウェアメールに備えて

 バンキングマルウェアに感染させようとする日本語メールは、8月31日にはばらまかれなかったようだが、毎月数回、不定期なばらまきが続いている。ランサムウェアに感染させようとする英文メールは、今週に入ってから連日続いており、偽アップルに続いて31日には、「Emailed Invoice - ※:1」(※は5桁の数字)、「August Payment」という件名のものが大量に届いている。今回はどちらも領収書を装うメールだったが、手を変え品を変え、いろいろなパターンのメールが今後も送られて来ることが予想される。メールの添付ファイルやリンクを、だまされて開かないよう注意していただきたい。

 末尾に挙げた関連トピックス『危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法』では、保護ビューやZoneIDなどについて詳しく解説している。うっかり開いてしまっても安全に取り扱えるよう、ぜひご一読いただきたい。

(2017/09/01 ネットセキュリティニュース)

【関連URL】
・インターネットバンキングマルウェアに感染させるウイルス付メールに注意
https://www.jc3.or.jp/topics/virusmail.html

【関連記事:ネットセキュリティニュース】
・うっかり操作でマルウェア感染、IPAが文書ファイルの新たな悪用手口を解説(2017/08/02)
・日本郵便など騙るマルウェアメールに注意――添付ファイルで不正送金ウイルス感染(2017/07/27-2)
・Excelファイルの添付メールに注意、マルウェア感染のおそれ(2017/07/20)
・請求書を装うマルウェアメールに注意、Excelマクロでマルウェア感染(2017/06/05)
・さまざまな件名で届く「バンキングマルウェア」メール――感染しないチェック法(2017/05/26)

投稿情報: 15:20 |

|