拡張子「.iqy」の添付ファイルに注意！　ウイルス感染狙うメールが1日だけで29万件も拡散

　拡張子「.iqy」のファイルが添付されたスパムメールが日本で拡散されているとして、トレンドマイクロ株式会社が注意を促している。添付ファイルを開くと、最終的にバンキングマルウェア「Ursnif」に感染する恐れがある。

　この拡張子が添付されたスパムメールは、海外では5月下旬以降に確認されたという。国内では8月6日に、件名「お世話になります」「ご確認ください」「写真添付」「写真送付の件」などの日本語で書かれたメールが拡散されていることを確認。8月6日の1日のみで29万件以上の同様のメールが検知されたという。このようなスパムメールは、数時間のうちに大量送信されたあとに止むことが多く、今回確認されたものも同日夜には送信が終了していたそうだ。

　なお、添付ファイル名は、「8月」＋「数字列」に加え、「受信者名」＋「数字列」という例が確認されている。ファイル名は異なっても内容は同一のものになるそうだ。

スパムメールの件名は、「お世話になります」「ご確認ください」「写真添付」「写真送付の件」などが確認されている

　.iqyは、Windowsではウェブサイトからデータを取り込むためのファイルとして、Excelに関連付けられている。攻撃者はこの仕組みを利用し、添付ファイルを開いたときに不正スクリプトファイルをダウンロードさせ、最終的にバンキングマルウェア「Ursnif」に感染させる。

　.iqyファイルを開く際は、Excelのセキュリティ機能により、確認メッセージが2回表示される。1回目は不正スクリプトのダウンロードと実行に対する確認、2回目は実行された不正スクリプトによる外部接続に対する確認だ。素性が不明な.iqyファイルを開いてしまい、これらの確認メッセージが表示された場合には「無効にする」もしくは「いいえ」を選択することで、最終的なマルウェアの侵入を防ぐことができるとしている。

添付の.iqyファイルを開いた際の例1。警告メッセージが表示された場合は、「無効にする」を選択してマルウェアの侵入を防ごう

添付の.iqyファイルを開いた際の例2。「有効にする」を選択したあとに「CMD.EXE」の実行を確認するメッセージが表示される。ここで「いいえ」を選択してマルウェアの侵入を防ごう

　拡張子.iqyのファイルを日常的に使用していない場合は、Excelの「セキュリティセンター」から「ファイル制限機能の設定」にて「Microsoft Office クエリファイル」を開かない設定にすることで、意図しない.iqyファイルの機能実行を防止できるとしている。

Excelの「セキュリティセンター」の設定例。「Microsoft Office クエリファイル」のチェックボックスをチェックすることで.iqyファイルの機能を制限できる

　なお、日本サイバー犯罪対策センター（JC3）の報告によると、8月8日にも.iqyファイル付きの不審メールが拡散されていることが確認されたという。

　件名は「写真」「プロジェクト」「支払い」「資料」「インボイス」「請求・支払データ」「文書」「ご請求額の通知」の8種類。添付ファイル名は「文書_00000.iqy」「(000000).00.zip」（0はランダムな数字）が確認されている。

日本サイバー犯罪対策センター（JC3）の注意喚起情報より