最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆クレカ会社を装うフィッシング相次ぐ――MUFGカード、クレディセゾン、楽天カード(2018/01/22) | メイン | ◆アップル、深刻な脆弱性を修正した「macOSs」最新版などを公開(2018/01/24) »

2018/01/24

◆マルウェアメールが活発化、メールの添付ファイルやリンクに注意(2018/01/24)

 年末からしばらく途絶えていたボットネットを使ったマルウェアメールの拡散が、再び活発化している。ランサムウェアを拡散するボットネットが11日から、不正送金マルウェアを拡散するボットネットが16日から再始動し、メールのばらまきを続けている。

 ボットネットは、マルウェア(ウイルス)を使って乗っ取った多数のパソコンをネットワーク化したもので、外部から操り、さまざまなサイバー攻撃を仕掛ける。迷惑メールの配信もその悪行のひとつで、ランサムウェアを拡散する英文メールや、不正送金マルウェアを拡散する日本語メールなどが、断続的に国内のユーザーの元に届いている。国内のマルウェアメールのばらまきに使われているボットネットについては、末尾の関連URLにあるラックの「サイバー救急センターレポート 第1号」に詳しい。

■ランサムウェアの拡散メール

 ランサムウェアは、感染したパソコンのファイルを暗号化するなどしてシステムを人質に取り、復旧するために身代金の支払いを要求するマルウェアのこと。英文メールや添付ファイルのみのメールとして、国内のユーザーの元にも頻繁に届いている。

 先月29日の「Scan」という件名のメールを最後にしばらく停止していたが、今月11日から「Document Noランダムな数字」や「Unpaid invoice [ID:ランダムな数字]」などの件名で、ばらまきが再開している。添付した拡張子「.7z」などの圧縮フォルダ形式のファイルの中に、拡張子「.vbs」などのスクリプトファイルを入れてばらまくことが多く、スクリプトファイルを実行すると、外部からマルウェア本体をダウンロードして来て感染してしまう。
 感染するのはWindowsのみだが、標準状態のWindowsは7Z形式に対応していないので、添付ファイルを開くことができない。「Lhaplus」などの圧縮解凍ソフトをインストールしている場合には、添付ファイルを開いて中身を警告なしで実行してしまうことがあるので、注意していただきたい。

■不正送金マルウェアの拡散メール

 不正送金マルウェアを拡散するメールは、日本サイバー犯罪対策センター(JC3)のサイトや警視庁のTwitterで逐次報告されており、JC3のサイトで実際に送られたメールを見ることができる。「Ursnif」や「DreamBot」と呼ばれるマルウェアに感染させようとするメールで、感染するとネットバンキングなどの利用時などにアカウント情報を盗まれ、不正送金を行われるおそれがある。メールは日本語で、ファイルを添付したタイプとリンクをクリックさせてダウンロードさせるタイプとがある。実在する企業を装う本物のメールそっくりの精巧なものもあるので、騙されないよう注意していただきたい。

 添付ファイル型は、マイクロソフトエクセルの文書ファイルなどが添付されていることが多く、開いて一定の操作を行うと外部からマルウェア本体をダウンロードして来て感染してしまう。添付型のメールは、先月27日に「12月度発注書送付」などの件名でばらまかれたメールが最後で、年明けはまだ確認されていない。防御方法などは末尾に挙げた関連記事(セキュリティトピックス)の『危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法』を参照していただきたい。

 ダウンロード型は、メールのリンクをクリックすると、拡張子「.js」のスクリプトファイルか、それを入れた拡張子「.zip」の圧縮フォルダ形式のファイルがダウンロードされる。スクリプトファイルを実行すると、外部からマルウェア本体をダウンロードして来て感染してしまう仕掛けだ。このタイプは、先月29日の楽天カードを装う「カード利用のお知らせ」という件名のメールを最後にしばらく停止していたが、今月16日に再開。同じ件名でほぼ同じ内容のメールが、16、17、23日にばらまかれた。本物の差出人に偽装した精巧なメールなので、騙されてクリックしないよう注意していただきたい。リンクにマウスポインターを重ねる、右クリックメニューでURLをコピーするなどの方法で、事前にリンク先を確認すると、URLが楽天カード「rakuten-card.co.jp」とは無関係なサイトであることがわかる。

■アップルのフィッシングメールも再開

 不正送金マルウェアの拡散メールを送っているボットネットは、昨年10月以降、「あなたのApple IDのセキュリティ質問を再設定してください。」という件名のアップルのフィッシングメールもばらまいている。JC3のサイトでは、ウイルスメールと一緒にこのフィッシングメールも逐次報告している。

 アップルをかたるフィッシングメールは、複数の攻撃者が入れ代わり立ち代わり、連日何種類ものメールをばらまいている。その中のひとつがこの件名のメールだが、先月28日を最後に一時休止していた。他のアップルのフィッシングメールが、年明け2日から次々に再開するも休止状態が続いていたが、マルウェアメール再開の翌週、フィッシングメールも再開してしまった。

 22日にばらまかれたフィッシングメールは、これまでと同様、岐阜や静岡から不正アクセスがあったことを知らせる内容で偽サイトへと誘導しようとするもの。差出人の表示名やメールアドレスを本物に偽装しているので注意が必要だ。リンク先を確認すれば、公式サイトの「apple.com」や「icloud.com」ではないことがわかる。ただし、「apple」や「icloud」の文字を織り込んだ紛らわしい名前を使用しているので、うっかりすると見間違えてしまうかもしれない。

 本物と違い暗号化通信に対応していないので、URLの最初が「https://」ではなく「http://」と「s」がないところもポイントだ。リンクをクリックすると、本物のAppleアカウントの管理ページそっくりに作られた偽のログインページが登場するが、本物と違い、アドレスバーに錠前マークや「Apple Inc.」という運営者名は表示されない。

(2018/01/24 ネットセキュリティニュース)

【関連記事】
・インターネットバンキングマルウェアに感染させるウイルスメールに注意(JC3)
https://www.jc3.or.jp/topics/virusmail.html
・サイバー救急センターレポート 第1号(ラック)
https://www.lac.co.jp/lacwatch/report/20171124_001430.html
・[更新] Apple をかたるフィッシング (2018/01/23)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/apple_20180123.html

投稿情報: 16:55 |

|