ニュース

偽の「健康保険組合からの医療費のお知らせ」で遠隔操作ツール拡散

 トレンドマイクロは7日、健康保険組合からの医療費通知メールを偽装し、不正プログラムを感染させようとする攻撃が出回っているとして、注意を呼び掛けた。

 攻撃メールはいずれも健康保険組合を名乗り、医療費のお知らせと称して圧縮ファイルが添付されている。圧縮ファイル内には、Wordファイルのアイコンに偽装した不正プログラムが含まれている。

医療費通知偽装メールの例
偽装ファイルの例

 受信者がこのプログラムを開くと、無害なWordファイルを表示して受信者の注意をそらし、その裏で遠隔操作ツール(バックドア型不正プログラム)が実行され、活動が開始される。

不正プログラム実行時に表示されるWord文書例

 攻撃メールの内容は複数あり、標的のPCで不正プログラムが確実に実行されるように、添付ファイルをWindows OS上で開くことを明示的に指示しているものや、最初にパスワード付圧縮ファイルをまず送付し、後から別途パスワードを通知するものなど、より巧妙な手口も確認されている。

先に送付した圧縮ファイルのパスワードを知らせる偽装メールの例

 一方、トレンドマイクロが確認した複数の検体では、最終的に侵入するバックドア型不正プログラムはすべて「BKDR_EMDIVI」として検出する不正プログラムファミリーの亜種で、画面に表示されるWordファイルもすべて同一の内容だったという。

 トレンドマイクロでは、これらの攻撃は年末調整などが始まり、保険費や医療費などの清算に関心が高まる時期をターゲットに、1カ月半以上にわたって攻撃対象の拡大と手口の巧妙化を継続していると推測している。また、この攻撃で確認されている「BKDR_EMDIVI」では、遠隔操作の指令サーバーが日本国内の改ざんサイト上に設置されていたりするなど、通信の発覚や追跡を妨げる手法が使われており、巧妙なものだとしている。

 トレンドマイクロでは、同様の攻撃がさらに対象を拡大する可能性もあるため、メール内の添付ファイルについてはアイコンの表示だけにとらわれず、拡張子の確認も合わせて実行可能ファイルが偽装されていないかに注意してほしいとしている。

(三柳 英樹)