ニュース

注文確認や複合機からの通知を装ったメールでマクロ型ウイルス拡散、10月8日に1万3000通以上を観測

 トレンドマイクロ株式会社は9日、2種類のマルウェアスパムを確認したと同社公式ブログで発表した。

新たに確認された2種類のマルウェアスパムの例

 実在する企業からの注文確認メールを装ったものと、複合機からの通知に装ったものの2種類。日本語で表記されており、不正マクロを含むWordファイルが添付されていた。トレンドマイクロによると、10月8日6時から確認され始め、18時までの間で1万3000通以上を確認したという。

 会社名を偽装した注文確認メールは、件名に「ご注文ありがとうございましたー添付ファイル『出荷のご案内』を必ずご確認ください」という文字列を含んでおり、送信元情報は「R OrderConfirm JP」が設定されている。また、複合機からの通知を偽装するメールでは、「Message from」という文字列で始まり、本文の最後に「西東京複合機より送信」という文が含まれる。

 添付された不正プログラムは「W2KM_DLOADR(ディーローダー)」「W2KM_SWIZZOR(スイッザー)」と呼ばれており、実行するとどちらもオンラインバンク詐欺ツール「SHIZ(シズ)」をダウンロードするという。Wordで当初からマクロが有効になっている、もしくは受信者がマクロを有効にした場合に実行される。

 なお、SHIZは、2015年に入って初めて確認されたオンラインバンク詐欺ツールで、7月ごろから日本を狙う攻撃が目立ち始めたという。また、「SHIFU」という名称でも呼ばれている。このことから、2種類の偽装メールは日本のネットバンキングを狙う金銭目的の攻撃であるとしている。

 トレンドマイクロによると、複合機の通知偽装メールについては2015年6月に、注文確認メールの偽装による攻撃は同年9月に確認されているが、2種類の偽装メールがほぼ同時に同一のオンライン詐欺ツールを拡散させる事例は初めてとしている。

6月の事例では、Wordファイルを開き「マクロが無効化されました」のメッセージを見て有効化してしまい、感染する被害が多かったという

(山川 晶之)