マルウェア「Ursnif」への感染を狙う不正な日本語メールの検知状況

記事をシェアする:

Tokyo SOCでは、10月後半より件名や本文に日本語を使用した不正メールのばらまきを検知しています。メールには悪意あるエクセルファイルが添付されており、ファイルを開いて指示に従った操作を行った場合、マルウェアに感染する可能性があります。図1は、不正メールの検知数の推移です。

図1 不正な日本語メールの検知数推移
(Tokyo SOC調べ　2018年10月9日～2018年11月30日)

この攻撃によって感染するマルウェアは、金融マルウェア「Ursnif」であることを確認しています。「Ursnif」への感染を狙う攻撃はここ数年継続して検知しており、最近では8月上旬に「.iqy」拡張子のファイルを添付したメールが送信されたことを確認していました。その後、9月から10月中旬にかけて日本語の不正メールの送信は確認していませんでしたが、10月24日から改めて不正メールの送信を確認しました。Tokyo SOCでの検知傾向から、このようなメールの送信は日本時間の火曜日もしくは水曜日に一斉に行われていることを確認しています。

今回確認したメールの件名および添付ファイル名は表1の通りです。注文書や請求書など、支払いに関するメールを装う件名が利用されています。

表1 不正な日本語メールで使用された件名および添付ファイル名

添付ファイルにはマクロが含まれており、実行した場合、外部からマルウェアがダウンロードされ感染が試みられます。Microsoft Officeの標準設定では、メール等で受信したファイルは「保護ビュー」で開かれ、悪用される可能性のある機能が無効化された状態となります。また、保護ビューを解除した場合でも「コンテンツの有効化」ボタンをクリックするまでマクロは実行されません。

しかしながら、ファイルにはこれらの操作を誘導するような表記がされているため、ユーザーによっては操作を実行してしまう場合があります（図2）。実際にTokyo SOCでは、添付ファイルを開き、操作を実施してしまったことで発生するマルウェアのダウンロードやマルウェアの活動を示す通信を複数検知しています。

図2 添付ファイルの例

「Ursnif」への感染を狙う不正メールの送信は昨年と比較すると頻度はやや減少しているものの、今後も断続的に送信されることが予想されます。このような広くばらまかれる不正メールへの対策としては、アンチスパムサービスやアンチウイルス製品の導入が有効です。また、不正メール受信時の注意喚起や攻撃者の手口の周知によるユーザー教育と、万一ファイルを開き、マルウェアに感染してしまった場合に検知・対応を行うための対策を継続していただくことを推奨します。

【著者情報】

猪股 秀樹

2000年インターネットセキュリティシステムズ株式会社入社。セキュリティー診断やIDS/IPSの導入プロジェクト、セキュリティー・コンサルティングなどさまざまなプロジェクトを手がける。2007年買収に伴い日本IBMに移籍。2012年よりセキュリティー・オペレーション・センターのチーフ・セキュリティー・アナリスト。