ニュース

日本の芸能人の名前を件名にした悪質メールが拡散、ダウンロードされるのはランサムウェア「GandCrab」やスパムボット「Phorpiex」など

 キヤノンマーケティングジャパン株式会社が公開した「2019年1月・2月マルウェアレポート」によると、1月・2月に最も多く検出されたマルウェアは、ダウンローダーの「JS/Danger.ScriptAttachment」だった。世界全体で検出されたJS/Danger.ScriptAttachmentのうち、86%は日本で確認されていることから、日本を主な標的とした攻撃であることが推測される。

 JS/Danger.ScriptAttachmentは、メールに添付された悪意のあるJavaScriptファイルの汎用検出名になる。2018年12月はほとんど検出されていなかったが、2019年1月以降は悪意のあるJavaScriptを含むZIPファイルを添付したメールが多数確認された。

JS/Danger.ScriptAttachmentの国別検出割合(1月・2月)

 メールに添付されたJavaScriptファイル名が「Love_you_<数字>」になっていたことから、ESETでは「“Love You” malspam campaign」と呼んでいる。

 このメールに添付されたZIPファイルにはJavaScript形式のダウンローダーが含まれており、実行すると別のダウンローダーがダウンロードされ、最終的に複数のマルウェアがダウンロードされる。

 ダウンロードされるマルウェアは、実行されるタイミングによって異なり、ランサムウェア「GandCrab」、スパムボット「Phorpiex」、コインマイナー、ダウンローダー、システム設定ツールなど様々なマルウェアが存在する。

Love you malspamの感染フロー

日本の芸能人89人の名前の件名リストをハードコード、「Yui Aragaki ;)」「Kyary Pamyu Pamy ;)」など

 この攻撃では、日本の芸能人の名前を件名にしたメールで拡散されていた。しかし、メールの件名は「Yui Aragaki ;)」「Kyary Pamyu Pamy ;)」「Kyoko Fukada;)」など、本文やGandCrabの脅迫画面は日本語で表記されていなかった。

送信されるメールの内容

 このメールは、最終的にダウンロードされるマルウェアの1つであるPhorpiexにより送信される。2月に確認されたPhorpiexの検体では、日本の芸能人の名前が含まれた件名リストがハードコードされていた。日本の芸能人の名前は89件含まれ、そのうち83件が女性芸能人の名前だった。また、別の検体では、男性芸能人の名前を多く含む検体も確認されている。

メール送信に用いられる件名リスト(一部)

 ダウンローダーのダウンロード先のサーバーには、GandCrabが置かれている場合が多く、GandCrabに感染するとファイルが暗号化される。

 GandCrabが収集する情報は、ユーザー名、コンピューター名、セキュリティソフトの情報、言語設定、キーボードの言語設定のフラグ、OSバージョンなど。

 GandCrabは頻繁にバージョンアップが行われている。1月に観測されたGandCrab v5.1については、ランサムウェア対策プロジェクト「No More Ransom」のウェブサイトからダウンロードできる復号ツールで対処できるが、2月中旬に観測されたGandCrab v5.2は、4月時点で同ツールでは非対応となっている。

GandCrab v5.1の暗号化後の脅迫画面

 キヤノンマーケティングジャパンでは、これらの脅威への対策として、不審なメールの添付ファイルや記載されたURLを開かないこと、注意喚起情報を確認し共有・周知することなどを挙げている。

 2019年1月・2月マルウェアレポートは、「ESETセキュリティ ソフトウェア シリーズ」の検出データをもとに分析したもの。集計期間は2019年1月1日~2月28日。