火曜朝の日本語ウイルスメール、2017年に入って再び、感染すると不正送金被害などに遭う恐れ

今回確認されたマルウェアスパムメールの例（出典：トレンドマイクロ）

　国内ネット銀行の利用者を狙うマルウェア「URSNIF（アースニフ、別名『GOZI』）」に感染させるための日本語スパムメールが、1月17日火曜日の朝に再び拡散されていることを確認したとして、トレンドマイクロ株式会社が注意を呼び掛けている。メールの件名は「依頼書を」「取引情報が更新されました」「【発注書受信】」「備品発注依頼書の送付」「送付しますので」「発注依頼書」「（株）発注書」など複数のパターンがある。添付された圧縮ファイル内に拡張子「.JS」のスクリプトファイルが含まれており、これを実行してしまうとURSNIFの本体が感染。その端末でネット銀行を利用するとID・パスワードなどの情報が盗まれ、不正送金被害などに遭う恐れがある。

　トレンドマイクロでは、「現在拡散しているマルウェアスパムでは、添付ファイルを開かない限り感染することはない」と説明。不用意にメールの添付ファイルを開かなないこと、添付ファイルを開く前に今一度メールの内容を確認すること、常に最新の脅威動向を知り、新たな手口にだまされないよう注意を払うこと、不審なメールを可能な限りフィルタリングして手元に届かないようにすること――をアドバイスしている。

　トレンドマイクロによると、同様の日本語スパムメールが火曜日の朝に拡散する事例は、2016年後半から定期的に確認されていたが、11月下旬ころから不定期になり、12月には確認できなくなっていたという。それが今回、2017年に入って再開した可能性もあると指摘。同社製品では17日正午時点で、URSNIFを2000件以上検出・ブロックしたことが分かっており、「相当の範囲に拡散していたことは間違いない」という。今後も同様の日本語件名・本文を使用したスパムメールによってマルウェアが拡散される可能性があるとしている。

トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network（SPN）」による検出数の推移（出典：トレンドマイクロ）

　今回、1月17日朝に拡散されたウイルス付きメールについては、警視庁でもTwitterアカウントで早期警戒情報を出して注意を呼び掛けており、一般財団法人日本サイバー犯罪対策センターのサイトで件名や本文、添付ファイル名などのパターンについて具体的な情報を掲載している（別記事『「ウイルス付メールが拡散中！　件名は……」警視庁が早期警戒情報を出して注意呼び掛け』参照）。