実在する企業を装う日本語メールを不特定多数に送り、バンキングマルウェア(インターネットバンキングの不正送金にかかわるウイルス)に感染させようとする攻撃が続いている。火、水、木は特にばららまかれることが多いのだが、先週、先々週とも、金曜日にもばらまきが行われた。
国内のユーザーを狙う日本語のマルウェアメールは、Ursnif(アースニフ:別名Gozi、ISFB、DreamBotなど)と呼ばれるマルウェアに感染させようとするもの。送信日と件名は以下の通りで、これらのメールの全文は、日本サイバー犯罪対策センター(JC3)のサイトで見ることができる。
・11月28日(火)にばらまかれたメールの件名
:【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を
:【重要】不正送金・フィッシング対策ソフト「PhishWallプレミアム」提供開始について
:カード利用のお知らせ
:[楽天]会員情報変更のお知らせ
・11月29日(水) にばらまかれたメールの件名
:カード利用のお知らせ
:【重要】カスタマセンターからのご案内【楽天カード株式会社】
:口座振替日のご案内【楽天カード株式会社】(楽天カード)
・11月30日(木) にばらまかれたメールの件名
:【重要】カスタマセンターからのご案内【楽天カード株式会社】
・12月1日(金) にばらまかれたメールの件名
:【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を
:カード利用のお知らせ
・12月5日(火) にばらまかれたメールの件名
:ディズニーランドの入場券をご獲得になりました!
:三菱UFJ信託銀行 - 口座開設申込受付
:【重要】カスタマセンターからのご案内【楽天カード株式会社】
・12月7日(木)にばらまかれたメールの件名
:カード利用のお知らせ
:お支払いが確認できませんでした
:三菱UFJ信託銀行 - 口座開設申込受付
・12月8日(金)にばらまかれたメールの件名
:三菱UFJ信託銀行 - 口座開設申込受付
:【重要】カスタマセンターからのご案内【楽天カード株式会社】
:カード利用のお知らせ
■11月最終週の攻撃(ダウンロード型)
11月28日から30日の攻撃では、メール内のリンクをクリックすると「楽天銀行の重要な情報.pdf.js」や「詳細情報楽天銀行.pdf.js」という、楽天関連のファイルに見せかけたスクリプトファイル、またはそれが入った圧縮フォルダ形式のZIPファイルが落ちてくるようになっていた。拡張子が「.js」のスクリプトファイルは、パソコンに自動処理を行わせるプログラムファイルのひとつ。ファイルを開いて実行してしまうと、外部からマルウェア本体をダウンロード・実行してしまう。
■12月5日の攻撃(ダウンロード型)
5日の「ディズニーランドの入場券をご獲得になりました!」という件名のメールは、「入園登録表.js」やそれが入った同名のZIPファイルが落ちて来るようになっていた。ネット上の情報によると、ダウンロードのタイミングによっては「入園登録表.doc」というワードの文書ファイルが落ちて来ることもあったようだ。
解析サイトの解析結果によると、このdocファイルは「Microsoft Officeの数式エディタの脆弱性」を悪用している可能性がある。この脆弱性は、11月の月例パッチで修正されたものだ。11月23日の三井住友銀行および三井住友カードを装うメールに添付されていたとみられる「VJAギフトカードインターネットショップ.doc」でも、この脆弱性が悪用されていた可能性がある。この脆弱性を悪用されると任意のコードが実行されるおそれがあり、マイクロソフトでは、サポートを終了したOffice2007に対しても修正プログラムを提供している。
このメールについては、トレンドマイクロが8日のブログで解説している。それによると、プレゼントの当選やアンケートへの回答のお礼など、賞品や賞金をもらえるという名目で利用者を誘導する手法は、サイバー犯罪者の常套手段となっている。同社では、今回のものと同種の不審メールが日本国内で3万通以上拡散していたことを確認したという。また、今回のメールから拡散された不正プログラムについて、国内で300台以上の検出を確認したという。
同日には、「三菱UFJ信託銀行 -口座開設申込受付」と「【重要】カスタマセンターからのご案内【楽天カード株式会社】」のメールもばらまかれているが、どちらもリンク先からは「入園登録表」が落ちて来た。メールの件名、内容とそぐわない名前のファイルが落ちてくる手抜き仕様だった。
■12月7日と8日の攻撃(ダウンロード型)
7日にばらまかれたのは、楽天カードをかたる「カード利用のお知らせ」、アドビをかたる「お支払いが確認できませんでした」と、「三菱UFJ信託銀行 - 口座開設申込受付」である。アドビや三菱UFJ信託銀行をかたっているメールでも、落ちてくるのはどれも「楽天カード株式会社の重要な情報.zip」または「楽天カード株式会社の重要な情報.DOC.js」だった。
8日にばらまかれたメール3件でも、件名に関わらず落ちてくるのは、7日と同じ「楽天カード株式会社の重要な情報.zip」、または「楽天カード株式会社の重要な情報.DOC.js」のどちらかだった。
なお、これらのメールが怪しいと気付くためのポイントとして、「リンク先が名前をかたられている各企業とは無関係なサイトである」こととともに、「宛先に複数のアドレスが列挙されていること」があげられるのだが、ネット上では7日ごろから、宛先に記載されているのが自分だけだったという書き込みが複数見かけられる。
■12月5日にはファイル添付型の攻撃も
5日には、「添付ファイルのご確認、宜しくお願いいたします」といって添付ファイルを開かせようとするメールもばらまかれたという。「- Fwd:」「- Re:」「- Fw:」の3種類があり、「0000_(※).xls」という形式(000は4桁の任意の数字、※はユーザー名)のエクセルファイルが添付されていたそうだ。この手口は、これまでにも幾度か使われているもので、だまされてファイルを開くと、「[編集を有効にする]をクリックします。その後、[コンテンツの有効化]ボタンをクリックします」というような指示が書かれている。
指示に従って[編集を有効にする]をクリックすると、インターネットからダウンロードしたファイルを安全に開く「保護ビュー」が解除され、マルウェア感染に悪用されるおそれのあるマクロなどの機能が全て有効になる。次の[コンテンツの有効化]ボタンのクリックで、仕掛けられていた自動実行マクロが実行され、マルウェア本体のダウンロード・実行が始まってしまう。安全であることが分かっている場合以外は、絶対にこれらをクリックしてはいけない。
(2017/12/11 ネットセキュリティニュース)
【関連URL】
・楽天カードを装った不審なメールにご注意ください(楽天カード)
https://www.rakuten-card.co.jp/guide/securityinfo/
・楽天を装った不審なメールにご注意ください。(会員情報変更メール)(楽天)
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/42754/
・「ディズニーランドの入場券をご獲得になりました!」といった件名のメールにご注意ください(東京ディズニーリゾート)
http://www.tokyodisneyresort.jp/manage/info/mail_ticket/
・「ディズニーランドの入場券をご獲得になりました!」といった件名のメールにご注意ください[PDF](オリエンタルランド)
http://www.olc.co.jp/resources/sw_img/20171205.pdf
・弊社を装う不審なメール にご注意くだい(三菱UFJ信託銀行)
http://www.tr.mufg.jp/ippan/about/hushin-mail_03.html
・実例で学ぶネットの危険:「ディズニーランドの入場券をご獲得になりました!」(トレンドマイクロ)
http://blog.trendmicro.co.jp/archives/16602