楽天カードかたるウイルスメールなどで感染、銀行やクレカの情報を盗むマルウェア「Ursnif」が拡散

　キヤノンITソリューションズ株式会社（キヤノンITS）によると、バンキングマルウェア「Ursnif」の感染を狙ったウイルスメールが2月に多く確認されているという。Ursnifは、インターネットバンキングサイトの認証情報やクレジットカード情報を窃取するもので、銀行口座からの不正送金やクレジットカードの不正利用などの被害にあう危険性がある。

　Ursnifの感染を狙ったメール攻撃は、1）Microsoft Officeのマクロ機能を悪用してUrsnifダウンローダーをメールに添付するもの、2）メール本文中にUrsnifダウンローダーのURLを記載する場合――の2パターンに分類できる。

　例えば、楽天カードをかたるウイルスメールでは、メール本文中に記載したURLは楽天株式会社の正規のドメインに偽装されている。実際のリンク先は攻撃者のドメインになるため、URLをクリックすると悪性のJavaScriptファイルをダウンロードし、ファイルの実行でUrsnifに感染する。

楽天カードをかたったメールの例

　Ursnifに感染する過程では、Windowsに標準搭載される正規のプログラム「wscript.exe」「cmd.exe」「powershell.exe」が利用される。wscript.exeはWindowsでJavaScriptファイルを実行するための既定プログラムとして設定されているため、この既定のプログラムをメモ帳などのテキストエディタに変更しておくと感染を防ぐことができるという。Windows上でJavaScriptファイルを実行しない場合はこの設定変更を適用することが推奨される。なお、ブラウザー上でのJavaScriptの実行には影響しないとしている。

バンキングマルウェア「Ursnif」感染までの流れ

既定のプログラムの設定変更から、拡張子「.js」（「.jse」）の実行プログラムをテキストエディタなどに変更