Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「宅配便」「駐車場の支払催促」などバラエティ増す偽メール - 「不正送金マルウェア」を添付

普段よく利用する宅配便業者から届いた「お届け予定日時」の予告メール。実は、まったくの偽物で、添付ファイルがオンラインバンキングの情報を盗み出すマルウェアだった——そのような攻撃が多発している。宅配便に限らず、さまざまな偽メールが出回っており、注意が必要だ。

20160630_es_002.jpg
偽メールの例(画像:CITS)

セキュリティベンダーが警戒を強めているのは、「URLZone」「Shiotob」といった別名でも知られるマルウェアの「Bebloh」を、添付ファイルとして送りつける手口。「Bebloh」は、感染するとオンラインバンキングの情報を盗み出すトロイの木馬だ。

歴史は比較的古く、2009年ごろより欧州を中心に活動していたが、2016年2月ごろより国内で本格的な感染活動を展開。トレンドマイクロによれば、2016年第1四半期の検知数は、前期比12.1倍へと急拡大し、同社の検知数において8割以上を占めた。

「Bebloh」の感染活動としては、日本郵政を偽装するケースが知られている。自身が金融機関の情報を盗み出すマルウェアだが、「Ursnif」「Snifula」「Papras」としても知られる別の不正送金マルウェア「Gozi」をダウンロードし、多重感染を招くこともある。

20160630_es_001.jpg
「Bebloh」の検知動向(グラフ:ESET)

6月に入ってからも活発な活動を見せており、ESETによれば、感染活動のピークを迎えた6月中旬には、同社感染率において約50%に達した。その後小康状態だが、引き続き観測されている。

キヤノンITソリューションズによれば、6月26日から6月29日までの3日間に、同社が確認しただけでも、同マルウェアを添付したメールは、6種類におよぶ。いずれも日本語で記載されており、受信者が興味を持つ内容を記載したソーシャルエンジニアリングが用いられていた。

具体的には、銀行を装った「振込受付通知」や、ヤマト運輸の「届け出予定日時の案内」を装う手口のほか、「駐車場の支払催促」「貸付による出金通知」「管理費の金額確認メール」「保安検査の通知」などに見せかけた「偽メール」が確認されている。

メールの本文は、不自然な日本語のメールもあるものの、日本語として違和感を感じさせないメールも増えているという。これらメールにはZIPファイルが添付されており、中身は実行ファイルで誤って開けばマルウェアへ感染。オンラインバンキングなどのアカウント情報が盗まれる危険が潜む。

今後さらに、メール本文などのバリエーションが増える可能性もあり、メールの添付ファイルには細心の注意が必要だ。

(Security NEXT - 2016/06/30 ) このエントリーをはてなブックマークに追加

PR

関連記事

2017年4Q、不正送金マルウェアが1.6倍に - 年初の70倍
2017年1Qのバンキングトロジャンは144件 - 前四半期から半減
マルウェア配信担う自己拡大型トロイの木馬に警戒 - 復旧に1億円超えも
不正送金マルウェア「Ursnif」の検出が急増 - コインマイナーは大幅減
脆弱なERP、機密情報流出のおそれ - 「SAP」「Oracle EBS」など標的に
ソフォス、個人向けに「Sophos Home日本語版」を無償提供 - WindowsとMac対応
Android狙う情報窃取アプリ、SMSで拡散 - 銀行アプリを偽物に置換
銀行狙わぬ「バンキングトロジャン」も - 標的はクレカやアカウント、仮想通貨も
ワールドカップ開催都市の公衆無線LAN、一部信頼性に疑問符
2017年のフィッシング報告は前年から減少 - 誘導先URLは1.7倍に