添付ファイルが「HTML」、検知回避を狙う標的型メール攻撃を観測

　HTMLファイルを添付した標的型メール攻撃が日本国内で観測されたとして、デジタルアーツ株式会社がセキュリティレポートを公開した。

　同社が観測したメールは、添付されたHTMLファイル「2019-08-09.html」がメール本文中に表示されていた。同ファイルは、リンク先でファイルをダウンロードするよう促すメッセージが書かれており、実際にクリックするとウェブブラウザーが起動して、ZIPファイル「Outlook_win10_zip.zip」をダウンロードする。

最初の2行より下の部分は添付ファイルの「2019-08-09.html」がメール本文中に表示されたもの。メールソフトによってはこのように直接表示することがある

添付された「2019-08-09.html」をテキストエディタで開いたもの

　「Outlook_win10_zip.zip」を展開すると、中には難読化されたJavaScriptファイル「2019-08-09.js」が格納されている。中身は特定のURLから新たなファイルをダウンロードしてファイルを実行するように設定されていた。「2019-08-09.js」をダブルクリックして実行すると、最終的には情報窃取系のバンキングマルウェアへ感染する恐れがある。

「Outlook_win10_zip.zip」

「2019-08-09.js」

　HTMLファイルを添付したメールを用いることで、不審なメールとして検知されることを回避する狙いがあるとデジタルアーツは説明する。

　具体的には、不審なZIPファイルのダウンロードURLがメールの件名や本文に直接記載されず、添付ファイル内にURLを記載していることや、添付ファイルが実行形式ではないことから、不審なメールとしての検知が困難になるという。また、この方法ではメール受信者が添付ファイルを他のアプリから開く手間が減るため、リンクへ誘導しやすくなる。

　なお、同社が提供するウェブセキュリティ製品「i-FILTER」とメールセキュリティ製品「m-FILTER」では、メール本文や添付ファイル内から取得したURLを分析することで標的型メール攻撃として判定、隔離することができたと説明している。