ニュース

日本の芸能人の名前を件名にした悪質メールが拡散、ダウンロードされるのはランサムウェア「GandCrab」やスパムボット「Phorpiex」など

 キヤノンマーケティングジャパン株式会社が公開した「2019年1月・2月マルウェアレポート」によると、1月・2月に最も多く検出されたマルウェアは、ダウンローダーの「JS/Danger.ScriptAttachment」だった。世界全体で検出されたJS/Danger.ScriptAttachmentのうち、86%は日本で確認されていることから、日本を主な標的とした攻撃であることが推測される。

 JS/Danger.ScriptAttachmentは、メールに添付された悪意のあるJavaScriptファイルの汎用検出名になる。2018年12月はほとんど検出されていなかったが、2019年1月以降は悪意のあるJavaScriptを含むZIPファイルを添付したメールが多数確認された。

JS/Danger.ScriptAttachmentの国別検出割合(1月・2月)

 メールに添付されたJavaScriptファイル名が「Love_you_<数字>」になっていたことから、ESETでは「“Love You” malspam campaign」と呼んでいる。

 このメールに添付されたZIPファイルにはJavaScript形式のダウンローダーが含まれており、実行すると別のダウンローダーがダウンロードされ、最終的に複数のマルウェアがダウンロードされる。

 ダウンロードされるマルウェアは、実行されるタイミングによって異なり、ランサムウェア「GandCrab」、スパムボット「Phorpiex」、コインマイナー、ダウンローダー、システム設定ツールなど様々なマルウェアが存在する。

Love you malspamの感染フロー

日本の芸能人89人の名前の件名リストをハードコード、「Yui Aragaki ;)」「Kyary Pamyu Pamy ;)」など

 この攻撃では、日本の芸能人の名前を件名にしたメールで拡散されていた。しかし、メールの件名は「Yui Aragaki ;)」「Kyary Pamyu Pamy ;)」「Kyoko Fukada;)」など、本文やGandCrabの脅迫画面は日本語で表記されていなかった。

送信されるメールの内容

 このメールは、最終的にダウンロードされるマルウェアの1つであるPhorpiexにより送信される。2月に確認されたPhorpiexの検体では、日本の芸能人の名前が含まれた件名リストがハードコードされていた。日本の芸能人の名前は89件含まれ、そのうち83件が女性芸能人の名前だった。また、別の検体では、男性芸能人の名前を多く含む検体も確認されている。

メール送信に用いられる件名リスト(一部)

 ダウンローダーのダウンロード先のサーバーには、GandCrabが置かれている場合が多く、GandCrabに感染するとファイルが暗号化される。

 GandCrabが収集する情報は、ユーザー名、コンピューター名、セキュリティソフトの情報、言語設定、キーボードの言語設定のフラグ、OSバージョンなど。

 GandCrabは頻繁にバージョンアップが行われている。1月に観測されたGandCrab v5.1については、ランサムウェア対策プロジェクト「No More Ransom」のウェブサイトからダウンロードできる復号ツールで対処できるが、2月中旬に観測されたGandCrab v5.2は、4月時点で同ツールでは非対応となっている。

GandCrab v5.1の暗号化後の脅迫画面

 キヤノンマーケティングジャパンでは、これらの脅威への対策として、不審なメールの添付ファイルや記載されたURLを開かないこと、注意喚起情報を確認し共有・周知することなどを挙げている。

 2019年1月・2月マルウェアレポートは、「ESETセキュリティ ソフトウェア シリーズ」の検出データをもとに分析したもの。集計期間は2019年1月1日~2月28日。

INTERNET Watchについて
弊誌は毎日更新のニュースサイトです。宅配便などを騙る偽メールの注意情報や、テレワークを快適にするネット機器情報アプリ情報働き方情報などを掲載しています。