検知状況

マルウェア「Ursnif」への感染を狙う不正な日本語メールの検知状況

記事をシェアする:

Tokyo SOCでは、10月後半より件名や本文に日本語を使用した不正メールのばらまきを検知しています。メールには悪意あるエクセルファイルが添付されており、ファイルを開いて指示に従った操作を行った場合、マルウェアに感染する可能性があります。図1は、不正メールの検知数の推移です。

図1 不正な日本語メールの検知数推移

(Tokyo SOC調べ 2018年10月9日~2018年11月30日)

 

この攻撃によって感染するマルウェアは、金融マルウェア「Ursnif」であることを確認しています。「Ursnif」への感染を狙う攻撃はここ数年継続して検知しており、最近では8月上旬に「.iqy」拡張子のファイルを添付したメールが送信されたことを確認していました。その後、9月から10月中旬にかけて日本語の不正メールの送信は確認していませんでしたが、10月24日から改めて不正メールの送信を確認しました。Tokyo SOCでの検知傾向から、このようなメールの送信は日本時間の火曜日もしくは水曜日に一斉に行われていることを確認しています。

 

今回確認したメールの件名および添付ファイル名は表1の通りです。注文書や請求書など、支払いに関するメールを装う件名が利用されています。

 

表1 不正な日本語メールで使用された件名および添付ファイル名

添付ファイルにはマクロが含まれており、実行した場合、外部からマルウェアがダウンロードされ感染が試みられます。Microsoft Officeの標準設定では、メール等で受信したファイルは「保護ビュー」で開かれ、悪用される可能性のある機能が無効化された状態となります。また、保護ビューを解除した場合でも「コンテンツの有効化」ボタンをクリックするまでマクロは実行されません。

しかしながら、ファイルにはこれらの操作を誘導するような表記がされているため、ユーザーによっては操作を実行してしまう場合があります(図2)。実際にTokyo SOCでは、添付ファイルを開き、操作を実施してしまったことで発生するマルウェアのダウンロードやマルウェアの活動を示す通信を複数検知しています。

図2 添付ファイルの例

 

「Ursnif」への感染を狙う不正メールの送信は昨年と比較すると頻度はやや減少しているものの、今後も断続的に送信されることが予想されます。このような広くばらまかれる不正メールへの対策としては、アンチスパムサービスやアンチウイルス製品の導入が有効です。また、不正メール受信時の注意喚起や攻撃者の手口の周知によるユーザー教育と、万一ファイルを開き、マルウェアに感染してしまった場合に検知・対応を行うための対策を継続していただくことを推奨します。

More 検知状況 stories

Drupalの脆弱性(CVE-2018-7600)を悪用したWebサイトへの広範囲な攻撃を観測

IBM Managed Security Services(MSS)のインテリジェンス・アナリストは、攻撃者が […]

さらに読む

Apache Struts2の脆弱性(S2-057/CVE-2018-11776)を狙う攻撃の動向について

2018年8月22日にApache Struts2の脆弱性(S2-057/CVE-2018-11776)が公開 […]

さらに読む

2017年下半期 Tokyo SOC 情報分析レポート 公開

「2017年下半期 Tokyo SOC 情報分析レポート」を公開しました。 本レポートは、IBMが全世界8拠点 […]

さらに読む