トレンドマイクロ、ネットバンク情報を狙った2種の偽装メールに注意喚起
トレンドマイクロは9日、同社のブログで「10月8日朝から 2種のマルウェアスパムを確認した」と公表した。1つは実在の会社名を偽装する注文確認メール、1つは複合機からの通知を偽装するメールで、どちらも不正マクロを含んだ Word文書ファイルが添付されているという。最終的にネットバンキングの認証情報を狙うオンライン銀行詐欺ツールを受信者の PC に感染させることがわかり、利用者に注意を喚起している。
実在の会社名を偽装する注文確認メールは、件名に「ご注文ありがとうございましたー添付ファイル「出荷のご案内」を必ずご確認ください」という文字列を含んでおり、送信元情報として「R OrderConfirm JP」が設定されているという。複合機からの通知を偽装するメールの件名は「Message from」という文字列で始まり、本文の最後に「西東京複合機より送信」という文が含まれているという。
同社のクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の観測によれば、これらの偽装メールは日本時間の 10月8日午前6時ころから確認され始め、12時間経過の午後6時時点で合わせて 13,000通以上を確認。これらの偽装メールに添付されているWord文書ファイルには不正マクロが含まれており、当初からマクロが有効になっている、もしくは受信者がマクロを有効化してしまった場合に実行されるという。
不正マクロは実行されると不正サイトへアクセスし、ネットバンキングを狙う不正プログラム「SHIZ」をダウンロードする。「SHIZ」は、2015年に入って初めて確認され、この 7月あたりから日本を狙う攻撃が目立ち始めたオンライン銀行詐欺ツールで、「SHIFU」の名称でも呼ばれている。
同社によると、注文確認メールの偽装による攻撃も複合機からの通知偽装による攻撃も過去に例があるが、今回のように 2種の偽装メールがほぼ同時に同一のオンライン銀行詐欺ツールを拡散させる事例は初めてだという。同社では、詳細解析を進め、追加情報はブログhttp://blog.trendmicro.co.jp/を通じて公表する。