「えっ、このメールが？」――マトモな文面のメールに攻撃が仕込まれるばらまき型攻撃に注意：ウイルス感染を狙うばらまき型メール、IPAが注意喚起

まともな文面だが身に覚えのない注文や請求書――IPAがウイルス感染を目的とした巧妙なばらまき型メールに警戒するよう呼び掛けている。標的型攻撃のように、あり得そうな内容のメールを装っている点が特徴だ。心当たりがある方は対策を。

[＠IT]

　情報処理推進機構（IPA）は、ウイルス感染を目的としたばらまき型メールに警戒するよう呼び掛けている。そのきっかけは、2015年10月8、27、30日に、実在する組織からの注文連絡などを装った添付ファイル付きメールが不特定多数の宛先に届くという事象が確認されていたこと。

　既報の通り、このメールは実在する組織を装い、本文に不自然な言い回しがないなど、その内容に不審な箇所を見い出しにくい。さらに、添付ファイル内のウイルスをセキュリティソフトが検知できない点など、標的型攻撃の手口と似ている。

　実際にこのメールを受信した人から「添付ファイルを開いてしまった」という相談がIPAに寄せられたことから、不審を抱かずに添付ファイルを開いてしまうような、タイトルや文面が巧妙なメールであることが伺える。

実際に送信されたばらまき型メールの例（出典：IPA）

　IPAでは、11月以降同様の被害を確認していないが、今後もウイルス感染を目的とした巧妙な内容のメールがばらまかれる恐れは十分にあるとしている。

　IPAが確認したばらまき型メールの主な特徴は、次の通りだ。

　メールの件名や本文は、実在の組織をかたったり、FAXなどの自動送信を装った内容。特に実在の組織をかたったメールは、本文に日本語として不自然な表現がなく、一見しただけでは不審を抱きにくい内容だった。

　添付ファイルは、マクロを埋め込んだWordファイル。このマクロの内容は、別のウイルスをインターネットからダウンロードし、実行（感染）させるもので、メールに添付されたWordファイルを開き、さらにマクロを有効にするとウイルスに感染する。マクロがインターネットからウイルスをダウンロードした際のファイル名（通信ログに記録される情報）と、ダウンロード完了後に端末に保存されるファイル名が異なるという特徴もある。

IPAが確認したばらまき型メールを特徴で分類したもの（出典：IPA）

　これまでにIPAが確認した10月8、27、30日付けのメールには全てWordファイルが添付されていたが、注意したいのはウイルスを感染させるためのマクロを実行できるファイルであれば、必ずしもWordファイルである必要はないことだ。実際IPAでは、内容は英文であるものの、ウイルス感染させるためのマクロが仕掛けられたExcelファイルが添付された、ばらまき型と推測される別のメールを確認している。

　またIPAには、PDFファイルに偽装した実行形式のファイル（PDFのアイコンで表示されるexeファイル）が格納されたzipファイルが添付されていたという別の相談もあったという。

対策

　一連の関係性や詳細は不明だが、今後も同様の手口のメールがばらまかれる危険性がある。ウイルスの感染被害に遭わないために、IPAでは次のような対策をするよう呼び掛けている。

1. 不用意に添付ファイルを開かない
2. リンクをクリックしない
3. マクロが自動で有効になるような設定をしない
4. 安全性が不明なファイルに対してはマクロを有効にするための「コンテンツの有効化」を絶対クリックしない

もし、不審な添付ファイルを開いてしまったら？

　また、開いてしまったメールの添付ファイルが不審であったことに気付いた場合は、次のような対応を推奨している。

1. 当該端末をネットワークから切り離す（LANケーブルを抜くか、無線LAN機能を無効化する）
2. セキュリティソフトでウイルススキャンを実施する
3. 必要に応じて、スキャン結果や開いてしまったファイルの情報、セキュリティソフトの定義ファイルの情報などをまとめて、セキュリティ専門会社に相談する
4. 通信ログを確認・監視する
5. ウイルス感染を確認した場合は、当該端末の初期化または保全を検討する。セキュリティソフトによってウイルスを駆除できた場合でも、感染した端末に未知のウイルスが残されている可能性がゼロとはいえないため、安全な利用のためには初期化が推奨される。また、ウイルス解析のためには感染したままの状態で保全することが望ましい場合がある