複合機偽装メールで国内被害も発生した「Dridex」、勢い収まらず

オンラインバンキングの情報を窃取するマルウェア「Dridex」を感染させようとするため、1日あたり数百万件にのぼるメールが送信されていることがシマンテックの調査で判明した。

同マルウェアは、フォームの情報を盗み出したり、コードの不正挿入、スクリーンショット機能など備え、オンラインバンキングの情報を盗み出すトロイの木馬。40以上の国や地域における300社の金融機関を対象としており、背後に大がかりな犯罪組織が関係しているとみられている。

同社が10週間の調査を行ったところ、英語圏を中心に145回のメール送信が行われたという。1回の攻撃あたり同社が遮断したメールは平均27万1019件にのぼり、1日あたり数百万件の規模でメールが送信されていると同社は結論付けている。

こうして送信されたメールの74％は、おもに英語圏の実在する企業をかたっており、請求書や領収書、発注書などを偽装。米国、英国、オーストラリアなど英語圏を中心に、ヨーロッパやアジア太平洋地域などでも被害が発生している。

同社が把握した感染数は、2015年1月から4月までは1カ月あたり2000件を下回る状況で推移したが、5月以降に増加。6月には約1万6000件とピークを迎え、その後も3000〜5000の感染を確認しているという。

「Dridex」に関しては、国内に対する感染活動が確認されている。日本製複合機でスキャナ機能を利用した際に送信されるメールに見せかけ、マクロを含むWordファイルを送り付けていたもので、マクロが有効な状態で誤って開くと感染する。

送信者のメールアドレスを「scanner＠組織のドメイン」に偽装するなど、ソーシャルエンジニアリングが行われており、国内でも被害が報告されていた。

（Security NEXT - 2016/02/18 ）ツイート