セキュリティベンダーのESETは、メールを利用した「ばらまき型」攻撃とみられる兆候が、3月22日から23日にかけて確認されたとして注意喚起を行った。中には、不正送金マルウェア「Rovnix」の感染を狙ったものもあるとしている。
不正送金マルウェアは、日本のオンラインバンキングなどをターゲットにしたもので、感染したまま攻撃対象の銀行にアクセスすると、ブラウザー上に改ざんした銀行のウェブサイトを表示。アカウント情報を入力してしまうと不正送金が行われる。今年2月ごろには日本郵政を偽ったRovnixの拡散メールが急増したほか、警視庁でも同様のメールについて注意喚起を行っている。
本日、ウイルス付きのメールが出回っていることを確認しました。身に覚えのないメールの添付ファイルは絶対に開かないでください!添付されているファイルはウイルスであり、ネットバンキングの情報を盗み取られるおそれがあります。pic.twitter.com/dTFr8kgxNV— 警視庁犯罪抑止対策本部 (@MPD_yokushi)2016年3月22日
ESETでは、今回のRovnixの感染を狙ったメールについて、明らかに日本をターゲットにしたものだと指摘。メールは日本語で書かれてあるものが大半だが、件名が文字化けしてあったり、本文が「3部1です。」のみといった通常のメールとは異質なものが多い。ただし、中にはECサイトの注文完了メールを偽り、自然な日本語で本文が綴られているメールも確認されている。
メールにはマルウェア本体を内蔵したファイルが添付されている。ファイルは圧縮されており、解凍するとJPEGファイルやWordファイルに見せかけたEXEファイルが出現し、実行することで感染する。そのほか、ランサムウェアと同様の手口で、添付されたJavaScriptファイルからscr(スクリーンセーバー)形式のマルウェアをダウンロードして感染させるタイプもあるという。
本文が「3部1です。」と表記されたメール
件名が文字化けしているメール
本文が「いつもお世話になります。宜しくお願い致します。」と表記されたメール
本文がECサイトの注文完了メールを装ったもの。自然な日本語で書かれてある
「Rovnix」の検出傾向。継続して検出されているのが分かる
(山川 晶之)関連記事
郵便配達の連絡を装ったウイルスメールが急増、楽天をかたるパターンも、狙いは国内のネットバンキング
2016年2月22日日本郵政のスタッフを装ったメールに要注意、割と自然な日本語、外部リンクや添付ファイルなどの危険要素も
2015年12月16日件名や本文に違和感のない「ばらまき型メール」に警戒を、添付ファイルからウイルス感染
2015年12月14日2015年のサイバー攻撃情勢、標的型メール攻撃の件数が急増、ネットバンキング不正送金被害も過去最悪
2016年3月18日