不正なマクロを仕込んだWord文書ファイルを添付し、オンラインバンキングサービスを狙うマルウエアに感染させようとするスパムメールが、2015年10月以降多数観測されている。
2015年10月以降、「Microsoft Office」のマクロ機能を悪用して、オンラインバンキングサービスを狙うマルウエアに感染させようとするスパムメールが多数観測されている。2015年10月8日に続き27日にも、実在する会社からの請求書やデジタル複合機からのFAX受信通知を装い、添付のWordファイルを開かせようとするスパムメールが多数拡散したと、トレンドマイクロがブログで注意を呼び掛けた。
トレンドマイクロが発表した情報によると、10月27日朝から3種類のスパムメールが拡散した。スパムメールのタイトルには、「タンケンー請求書(小)の件です」「請求書」という請求書を装ったものと、「ファックス受信完了:Fax Received」というデジタル複合機からの通知を装ったものがある。同社の観測によれば、合わせて1万1000通以上のスパムメール送信が確認されたという。
いずれも、不正なマクロを埋め込んだWord文書ファイルが添付されている。もしこれをWordのマクロを有効にした状態で開いてしまうと、不正なマクロが実行され、オンラインバンキングの認証情報を盗み取ろうとするマルウエア「SHIZ」(Shifuとも呼ばれる)がダウンロードされてしまう。Shifuは、2015年4月ごろから活動が活発化した、オンラインバンキングサービスを狙うマルウエアだ。特に日本の金融機関をターゲットにしており、パスワードや電子証明書といった認証に用いられる情報を盗み取ろうとする。
一連のスパムメールの送信元は実在する会社のメールアドレスとなっている。特に、請求書を装った二種類のスパムメールには、本文末尾に社名や住所などを記した署名が加えられており、受信者をだまそうとする意図が見られる。しかしトレンドマイクロによると、「メールヘッダー情報からは海外のメールサーバーが発信元であることが推測され、送信元アドレスは偽装であるものと考えられる」という。
また、名前を使われてしまった企業の一つは、自社Webサイトにて「弊社を名乗り『請求書』という内容で架空メールが多数の方に送られているようですが、弊社からそのようなメールを送った事実もなく一切関係ありません」と告知し、受け取った場合は添付ファイルを開かずに削除するよう注意を呼び掛けている。
2015年10月8日には、実在の会社名をかたった「注文確認」や、デジタル複合機からの通知を装うスパムメールが1万3000通以上送信されたことが確認されている。Wordの文書ファイルに仕込まれたマクロウイルスを添付していること、実行するとSHIZ(Shifu)に感染することなど、二つの攻撃には共通する点が多い。今後も同様のメールが拡散する可能性もあり、注意が必要だ。
情報処理推進機構(IPA)は前回のスパムメール拡散を受け、標的型攻撃とは異なる、不特定多数に広く送付される「ばらまき型メール」への注意を呼び掛けている。
ばらまき型のスパムメールを通じてマクロウイルスを送りつける手口は、当時はMicrosoft Officeでマクロがデフォルトで有効になっていたこともあり、1990年代後半から2000年代前半にかけて猛威を振るったが、その後は下火になっていた。しかし2015年に入って再び、マクロウイルスや不正なマクロを悪用し、「Dridex」などのマルウエアに感染させようとする手口の増加が見られ、先に米SANS Instituteが警告を発している。
対策としては、Microsoft Office製品のマクロ機能をデフォルトのまま無効化しておくことが挙げられる。もしファイルを開こうとした際に「マクロが無効にされました」というセキュリティ警告メッセージが表示された場合は、ひと呼吸置き、安全性が不明なファイルではマクロを有効化しない(=コンテンツの有効化ボタンを押さない)ことが推奨される。また、今回のような「ばらまき型メール」の手口では、同じ社内、あるいは社外の人々にも同様のメールが届いている可能性が高いため、システム管理部門に確認するのも一つの手になるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.