ニュース

火曜の朝のウイルス付き日本語メールに今後も注意を、火曜日以外の場合も

 感染するとインターネットバンキングのログイン情報などが盗まれ、不正送金被害などに遭う恐れのあるマルウェア「Ursnif(別名『Gozi』)」。このマルウェアに感染させるためのスパムメールが、日本時間の火曜日の朝にばらまかれる攻撃パターンが昨年から観測されている。幸い、今週は今のところ新たな拡散は確認されていない模様で、1月31日20時現在、警視庁のTwitterアカウントからは新たな早期警戒情報は出されていない。

 とはいえ、この攻撃パターンが収束したと言えるわけではない。トレンドマイクロ株式会社によると、火曜朝のマルウェアスパムの拡散は2016年後半から定期的に確認されるようになったものだが、11月下旬ごろから不定期になり、12月には確認できなくなっていたという。しかし、2017年に入って1月17日の火曜日に再び確認され、同様のマルウェアスパムが今後も拡散される可能性を指摘していた。実際、翌週の火曜日(1月24日)ごろにも拡散が確認されている。

メール経由で拡散されたとみられる「Ursnif」の検出数の推移。トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」によるもの(出典:トレンドマイクロ)

 また、こうしたウイルス付きメールは火曜日以外にも出回っている。メールの文面や添付ファイルの名称など、確認されたウイルス付きメールの具体例を公表している一般財団法人日本サイバー犯罪対策センター(Japan Cybercrime Control Center:JC3)のウェブサイトによると、今年に入って確認されたウイルス付きメールとしては、月曜日や水曜日、木曜日に送信されたものもある。直近の事例も、先週の水曜日(1月25日)に送信されたメールだ。

 警視庁では、こうした件名と一致するメールには特に注意し、添付ファイルを決して開かないよう呼び掛けている。

JC3のウェブサイトで紹介されているウイルス付きメールの具体例。画像は、送信日が1月25日のメールの1つ

 セキュリティ製品「ESET」シリーズを国内販売するキヤノンITソリューションズ株式会社でも、最近の日本語スパムメールによる攻撃に注意を呼び掛けている。

 ESETにおいて、最近のメール攻撃に付与されているマルウェアとして検出されているのは「JS/Danger.ScriptAttachment」「JS/TrojanDownloader.Nemucod」「JS/Danger.DoubleExtension」といったもの。いずれもJavaScriptコードによるダウンローダー機能をZIPファイルに有するものを検出対象としているが、日本における検出率の推移データを見ると、JS/Danger.ScriptAttachmentは1月16日以降、JS/TrojanDownloader.Nemucodは1月17日以降、JS/Danger.DoubleExtensionは1月19日と1月22日~24日に検出率が上昇している。

日本における「JS/Danger.ScriptAttachment」検出率の推移(ESET「VIRUSRADAR」より)
日本における「JS/TrojanDownloader.Nemucod」検出率の推移(ESET「VIRUSRADAR」より)
日本における「JS/Danger.DoubleExtension」検出率の推移(ESET「VIRUSRADAR」より)

 キヤノンITソリューションズによると、同じくログイン情報などを盗み取るマルウェアとして2016年に多く確認された「Bebloh」では、メールの添付ファイルの中身が実行モジュールとしてばらまかれていたが、今回の攻撃では、JavaScriptを使ったNemucodと呼ばれるダウンローダーの手法を使ってマルウェア「Ursnif」「Papras」への感染を狙っている兆候が見られるのが特徴だという。2016年以降、ランサムウエア(身代金要求ウイルス)の感染に使われているのと同様の手法だとしている。

 実際、ESETの検出率の統計データは、Ursnifなどの感染を狙った日本語メールによるものだけが区別されているわけではなく、ランサムウエアの感染を狙った英語メールのダウンローダーの検出数も含まれたデータとなっている。このうちの日本語メールのダウンローダーで感染するものが、主にUrsnifやPaprasとみられるとしている。