ニュース

複合機からの通知メールに偽装、さらに不正マクロ添付……新手の攻撃が確認される

 トレンドマイクロ株式会社は、不正なマクロを複合機からの通知メールに偽装して送りつける事例が世界的に確認されたことを明らかにした。6月17日の時点で2000件以上の攻撃メールが確認されたという。日本国内の法人からも数十件の問い合わせを受けており、今後広まる可能性もあるとして、注意を呼び掛けている。

攻撃メールの例(トレンドマイクロの説明資料より画像引用)

 近年普及しているネットワーク接続型の複合機は、原稿台でスキャンした画像をメールで通知するといった機能を備える。今回確認された攻撃は、不正マクロが仕込まれたWordファイルが偽装通知メールに添付されている。メールの件名は「Message from <アルファベット4文字>_C280」、送信者(From)は「scanner@<受信者の組織のドメイン>」、添付ファイル名は「S<アルファベット4文字>_C280<送信日に基づく数字列>」であったという。一般的に、複合機のスキャン通知メールには画像ファイルやPDFが添付される。

 添付された不正マクロを万一実行してしまうと、最終的に「DRIDEX」に類するマルウェアに感染。ネットバンキング関連の情報が窃取される。

 トレンドマイクロによれば、添付ファイル名などを勘案すると、日本製複合機からの通知メールを偽装したものとみられる。ただし、今回の攻撃メール受信者が同じ複合機を利用しているかは確認できておらず、ある程度攻撃対象が絞られている可能性もあるという。

 流布した不正マクロは、Word上でのマクロ実行が無効化されていれば感染しない。しかし、業務の都合でマクロ実行を常時オンにしている場合などは危険性が高まる。

 マクロ型のマルウェアは海外を中心に復活しつつあるという。開いた文書の冒頭に「文字化けの解消のためにマクロを有効にせよ」などと記述してだます安易な手口も多いが、近年はそういっただまし行為がなくても、被害が発生してしまっているため、トレンドマイクロは改めて基本対策の重要性を訴えている。

(森田 秀一)