ニュース

日本を狙うウイルスメール、感染者を踏み台にして世界中にスパムメールを配信

 パロアルトネットワークス株式会社は17日、同社の脅威インテリジェンスチーム「Unit 42」が、日本を狙ったマルウェア「Ursnif(別名Gozi)」を分析する中で、感染者を踏み台にしてさまざまな国に攻撃を行う配信ネットワークを突き止めたと発表した。

 Ursnifは、感染者のPCからオンラインバンキングなど金融機関に関する情報を盗み出すマルウェアで、日本のユーザーを狙った攻撃メールが大量に送信されているとして、2月14日には警視庁や一般財団法人日本サイバー犯罪対策センターなどが注意を呼び掛けている。

悪意ある添付ファイル付きの日本語の電子メールの例(一部加工済)

 パロアルトネットワークスでは、この攻撃は日本だけでなく、イタリア、スペイン、ポーランド、オーストラリア、ドイツを中心とした各国に、銀行を狙うトロイの木馬やダウンロード型トロイの木馬を配信していることを確認。また、配信ネットワークは、メールを配信するスパムボットネットと、1組の侵害されたウェブサーバーの、2つの要素から構成されているという。

 パロアルトネットワークスの脅威インテリジェンスサービスである「AutoFocus」からは、2016年の間に、日本を標的にした大量の電子メールが送信されていたことが確認されている。メールの大部分は日本語で書かれており、2017年1月に検出された最新の添付ファイルは、JavaScriptで記述されたダウンローダーで、リモートサイトからUrsnifをダウンロードし、マシン上で実行させる仕組みとなっていた。

 Shiotob (別名BeblohまたはURLZone)は、この攻撃キャンペーンで昨年最も広範囲に配信されたマルウェアで、パロアルトネットワークスでは700万個のスパムメールから、特異なShiotob亜種を75個特定した。

 被害者は、メールの添付ファイルを開いた際にShiotobに感染し、次にShiotobがC&Cサーバーとの通信を開始し、定期的にC&Cサーバーからのコマンドを受信し始める。そして、ShiotobがC&Cサーバーからのコマンドに基づいて、Ursnifなどのマルウェアをインストールするという流れになっている。

侵害のステップ

 また、インストールされるマルウェアとしては、Ursnifのほかに、Pushdo(別名CutwailまたはPandex)と呼ばれるスパムボットが確認されている。悪意のある添付ファイル付きメールの送信元として、日本のIPアドレスが急増していることからも、こうしたスパムボットへの感染が増加していることが考えられるとしている。

日本発の悪意のある添付ファイル付きメールの数

 Shiotobを送信していた日本のマシン発のメール200通をランダム抽出して調べたところ、他のマルウェアを配信していることも確認。見つかった大半のマルウェアは、銀行を狙うトロイの木馬またはダウンローダー型トロイの木馬のいずれかだった。

 標的の上位となっている国は、イタリア、日本、スペイン、ポーランド、ドイツで、攻撃者は標的に応じて配信するメールをカスタマイズし、該当する言語を話す人々を誘い込むためにメールの件名と本文をローカライズして使用しているという。

ランダム抽出した200個の日本のIPアドレスから送信されたマルウェア
標的と電子メールの特徴(各言語に応じて翻訳されている)

 マルウェアをホスティングしているウェブサーバーについては、攻撃者はファイルを複数のサーバーに配置し、冗長化していることが判明。2015年4月から2017年1月まで、攻撃者によって使用された74のサーバー上に、200を超える悪意のあるファイルが確認された。サーバーの大半は、ヨーロッパの個人または中小企業のウェブサイトを侵害していたもので、所有者は何年もサーバーを管理していなかったようだとしている。

 ウェブサーバーで見つかった複数のマルウェアは、それぞれダウンロードしている国に違いが見られ、スパムメールによる配信と同様の傾向となっている。

 パロアルトネットワークスでは、こうした攻撃インフラを使用して、単一のグループが複数の国を攻撃しているのか、または多数の攻撃者がそれらを共有しているのかは、まだ分からないとしている。

ウェブサーバー上のマルウェア
ウェブサーバーで見つかったマルウェアファミリー