Akibano

トピック

日本を狙うウイルスメール、感染者を踏み台にして世界中にスパムメールを配信 

投稿者 Akibano #INTERNET Watch, #ウイルス/マルウェア, #セキュリティ, #トピック

 パロアルトネットワークス株式会社は17日、同社の脅威インテリジェンスチーム「Unit 42」が、日本を狙ったマルウェア「Ursnif(別名Gozi)」を分析する中で、感染者を踏み台にしてさまざまな国に攻撃を行う配信ネットワークを突き止めたと発表した。
 Ursnifは、感染者のPCからオンラインバンキングなど金融機関に関する情報を盗み出すマルウェアで、日本のユーザーを狙った攻撃メールが大量に送信されているとして、2月14日には警視庁や一般財団法人日本サイバー犯罪対策センターなどが注意を呼び掛けている。
悪意ある添付ファイル付きの日本語の電子メールの例(一部加工済)
 パロアルトネットワークスでは、この攻撃は日本だけでなく、イタリア、スペイン、ポーランド、オーストラリア、ドイツを中心とした各国に、銀行を狙うトロイの木馬やダウンロード型トロイの木馬を配信していることを確認。また、配信ネットワークは、メールを配信するスパムボットネットと、1組の侵害されたウェブサーバーの、2つの要素から構成されているという。
 パロアルトネットワークスの脅威インテリジェンスサービスである「AutoFocus」からは、2016年の間に、日本を標的にした大量の電子メールが送信されていたことが確認されている。メールの大部分は日本語で書かれており、2017年1月に検出された最新の添付ファイルは、JavaScriptで記述されたダウンローダーで、リモートサイトからUrsnifをダウンロードし、マシン上で実行させる仕組みとなっていた。
 Shiotob (別名BeblohまたはURLZone)は、この攻撃キャンペーンで昨年最も広範囲に配信されたマルウェアで、パロアルトネットワークスでは700万個のスパムメールから、特異なShiotob亜種を75個特定した。
 被害者は、メールの添付ファイルを開いた際にShiotobに感染し、次にShiotobがC&Cサーバーとの通信を開始し、定期的にC&Cサーバーからのコマンドを受信し始める。そして、ShiotobがC&Cサーバーからのコマンドに基づいて、Ursnifなどのマルウェアをインストールするという流れになっている。
侵害のステップ
 また、インストールされるマルウェアとしては、Ursnifのほかに、Pushdo(別名CutwailまたはPandex)と呼ばれるスパムボットが確認されている。悪意のある添付ファイル付きメールの送信元として、日本のIPアドレスが急増していることからも、こうしたスパムボットへの感染が増加していることが考えられるとしている。
日本発の悪意のある添付ファイル付きメールの数
 Shiotobを送信していた日本のマシン発のメール200通をランダム抽出して調べたところ、他のマルウェアを配信していることも確認。見つかった大半のマルウェアは、銀行を狙うトロイの木馬またはダウンローダー型トロイの木馬のいずれかだった。
 標的の上位となっている国は、イタリア、日本、スペイン、ポーランド、ドイツで、攻撃者は標的に応じて配信するメールをカスタマイズし、該当する言語を話す人々を誘い込むためにメールの件名と本文をローカライズして使用しているという。
ランダム抽出した200個の日本のIPアドレスから送信されたマルウェア
標的と電子メールの特徴(各言語に応じて翻訳されている)
 マルウェアをホスティングしているウェブサーバーについては、攻撃者はファイルを複数のサーバーに配置し、冗長化していることが判明。2015年4月から2017年1月まで、攻撃者によって使用された74のサーバー上に、200を超える悪意のあるファイルが確認された。サーバーの大半は、ヨーロッパの個人または中小企業のウェブサイトを侵害していたもので、所有者は何年もサーバーを管理していなかったようだとしている。
 ウェブサーバーで見つかった複数のマルウェアは、それぞれダウンロードしている国に違いが見られ、スパムメールによる配信と同様の傾向となっている。
 パロアルトネットワークスでは、こうした攻撃インフラを使用して、単一のグループが複数の国を攻撃しているのか、または多数の攻撃者がそれらを共有しているのかは、まだ分からないとしている。
ウェブサーバー上のマルウェア
ウェブサーバーで見つかったマルウェアファミリー

関連リンク プレスリリース

関連記事

2月14日に再び「ウイルス付メールが拡散中!件名は……」警視庁がTwitterで注意呼び掛け
2017年2月15日

「ウイルス付メールが拡散中! 件名は……」警視庁が早期警戒情報を出して注意呼び掛け
2017年1月17日

火曜の朝のウイルス付き日本語メールに今後も注意を、火曜日以外の場合も
2017年1月31日

ウイルス付きメールが今週も拡散中、件名は「事故写真です」「キャンセル完了のお知らせ」「Re:」「Fwd:」などいろいろ、警視庁がTwitterで注意呼び掛け
2017年1月25日

投稿者 Akibano

関連投稿

トピック

TP-LinkのWi-Fiルーターなど20製品に脆弱性、最新ファームウェアへのアップデートを 

トピック

「請求書」メールに注意、添付されているExcelファイル「コマーシャル・インボイス.xls」はウイルス 「日本郵便 インボイス用紙」という件名のものも

トピック

「凛とした現場写真送ります」ウイルスメールが拡散中、警視庁が注意呼び掛け、日本通運を装うパターンも 

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

見逃しています

Toyo

トーヨータイヤ、ミドルクラスミニバン専用タイヤ「TRANPATH ML(トランパス エムエル)」

Toyo

トーヨータイヤ、「トランパス」シリーズを実際に試せる体感試走会を全国3エリアで開催

Toyo

東洋ゴム、雪上ドリフトでスタッドレスタイヤの性能をアピールする動画「SNOW DRIFT」

Toyo

トーヨータイヤ、ミドルクラスミニバン専用タイヤ「TRANPATH ML(トランパス エムエル)」 ドレスアップ効果と転がり抵抗低減を手に入れた高級指向のミニバン専用タイヤ