ニュース

「IcedID」に感染させるパスワード付き圧縮ファイルに注意

「Re:」で始まる返信型ばらまきメールを確認

 マルウェア「IcedID(アイスドアイディー)」を拡散させる日本語マルウェアスパムが10月末から確認されているとして、トレンドマイクロ株式会社が注意を呼び掛けている。

 IcedIDは2017年に登場が報告されているマルウェアで、登場当初からネットバンキングの情報詐取を行うバンキングトロジャンとして認識されている。同時に、現在では「Emotet」同様、情報窃取の対象を拡大するとともに、他のマルウェアのローダーとしても活動することがある。

 トレンドマイクロ製品における日本国内でのIcedIDの検出台数は、拡散が開始された10月27日から11月6日の10日間で70件強で、サポートセンターでは数件の感染報告を受けている。JPCERT/CC分析センターのTwitterアカウントでも11月6日付で注意喚起が出されており、広範囲に拡散が見られている。

日本の利用者が標的に、サイバー犯罪者グループ「TA551」の関与も

 現在確認されているIcedIDのマルウェアスパムメールには、件名が「Re:」などと返信を装ったメールが確認され、パスワード付き圧縮ファイルが添付されている。

2020年10月28日に確認されたIcedIDを拡散するマルウェアスパムの例

 圧縮ファイル内にはMicrosoft Wordの「.doc」ファイルが含まれ、ファイル名は「commerce_10.29.2020.doc」のように「<文字列> .doc」という形式になっていることが確認されている。

 文書ファイル内には不正マクロが含まれており、解凍してファイルを開くとマクロ無効化の警告が表示される。この警告に対し「コンテンツの有効化」ボタンをクリックしてしまうと不正マクロが実行され、外部の不正サイトへの接続などを経て、最終的にIcedIDに感染するという。

添付された「.doc」ファイルの例

 マルウェアスパムや添付の.docファイルの内容が日本語で書かれていることから、今回の攻撃が日本の利用者を対象としていることが分かる。海外では2020年8月の段階で、パスワード付き圧縮ファイルの添付ファイルを持つマルウェアスパム経由でのIcedIDの拡散が報告されており、その攻撃が日本にも本格的に流入してきたものと考えられる。

海外の事例。添付ファイルではなく、本文内のURLからダウンロードさせる手口だった

 これら一連のIcedIDを拡散させるマルウェアスパムキャンペーンは、一般に「TA551(別名:Shathak)」と呼ばれる、スパムメール送信を主とするサイバー犯罪者グループによって行われているものとみられる。

 TA551は2020年4月から6月にかけて情報窃取型マルウェアである「Valak」(トレンドマイクロ製品では「Backdoor.JS.VALAK」などとして検出)を拡散していたことが報告されているが、その後にIcedIDの拡散に変わったものと考えられる。

2018年の攻撃におけるIcedIDの感染フロー

「コンテンツの有効化」ボタンを押さないように注意

 今回の攻撃は、メール経由によるマルウェア感染事例であり、類似の手法で拡散するEmotetの攻撃と同様、侵入経路となるメールとその添付ファイルについて正当性を判断し、不審なものは開かないようにする心掛けが必要だという。

 特にパスワード付き圧縮ファイルはセキュリティ製品の検知を回避する手段になるので注意が必要だ。

 また、正規のメールと誤解して添付ファイルを解凍し開いてしまった場合でも、Microsoft Officeのマクロ機能が有効化されなければ不正活動は開始されないという。マクロ無効化のセキュリティ警告表示があった場合は「コンテンツの有効化」ボタンは押さず、ファイルを閉じてから、メールとファイルの正当性を再確認するよう呼び掛けている。

マクロ無効化のセキュリティ警告表示

 現在のMicrosoft Officeの標準設定ではマクロ機能は無効になっているが、マクロ無効化のセキュリティ警告表示メッセージが表示されるため、「コンテンツの有効化」ボタンを押してしまうケースも少なくないものと考えられる。

 メール経由の攻撃の多くが不正マクロ入りの.docファイルを悪用しているため、マクロ機能を使用する必要がない場合には「警告を表示せずにすべてのマクロを無効にする」の設定に変更するのも対策として有効だという。

Microsoft Officeの「セキュリティセンター」での「マクロ設定」画面の例