ネットワークサービス事業を手掛ける、IIJ（株式会社インターネットイニシアティブ / Internet Initiative Japan Inc.）が運営するセキュリティ情報発信サイト「wizSafe Security Signal」にて、攻撃メールに関する情報が公開されました。

「著作権を侵害しています」という内容のメールが届いても落ち着いて

wizSafe Security Signal（以下wizSafe）によると、「著作権を侵害しています」という内容で偽装したメールが、2025年8月末頃からIIJ広報の問い合わせメールアドレスで確認されているそうです。

この偽装された攻撃メールには、「著作権侵害されている」と脅しをかけるような文面に加えて、「文書のダウンロードURL（短縮URL）」が記載されているそうです。このURLをクリックすると、文書のzipファイルと見せかけた攻撃ファイル（マルウェア：有害動作をする悪意あるソフトウェア）がダウンロードされてしまうそうです。

ダウンロードされたファイルを実行することで、マルウェア感染が引き起こされる模様です。

wizSafeによる現時点でのパターンをまとめると次のようになります。

※これ以外の派生パターンも今後予想されるのでご注意ください

・送信元メールアドレスにはフリーメールサービスが利用されているケースがある

・送信者は、自称「マスメディア」や「アニメーションを扱うエンターテインメント企業」など

・メール件名の例は「著作権で保護されたメディアの無許可使用の通知」や「知的財産所有権違反通知 Fanpage 株式会社インターネットイニシアティブ（IIJ）」など

・“著作権侵害の資料”という名目で短縮URLがある

・短縮URLの例として（tr[.]ee）から（goo[.]su）に飛ぶパターンがみられるが、これは一例

・異なる短縮URLサービスもある。短縮URLを使わない場合もある

・短縮URLにアクセスするとZIPファイルのダウンロードが行われる。

今回のケースで感染するのはRhadamanthys StealerとPXA Stealerという情報窃取型のプログラムのようです。

ニュースソースであるwizSafeでは、PXA Stealerの構成・内容について詳しく解析を行っています。

こちらの解説によると、感染させる初期段階の手口としては古（いにしえ）から存在する偽装が用いられているようです。具体的には「ファイルアイコンは文書ファイルだけれども、拡張子はexe（実行ファイル）になっている」というものです。

解凍したファイルが文書っぽいアイコンなので、「警告」に焦って中を確認しようとしたら、実は感染用の実行ファイルだったというパターンです。

どうしたらいい？

ここからは一般論と筆者の経験則に基づきますが、「どうしたらいいか」を考察してみたいと思います。ただし、この通りにしたら絶対安全大丈夫！というわけではない点をご承知おきください。詐欺師は、常にこちらの裏側をかくようなことをしてきますので……。

・基本的に怪しいメールは開かないのが安全

・「著作権侵害」が本当か確認する

→実在する会社名なのか、Googleで検索して、公開されている電話番号やメールアドレスに問い合わせる。（※メールに記載されている電話番号が詐欺グループに通じるパターンも考慮し、公式ページの番号やメールアドレスに問い合わせる）

・URLはクリックしない／添付ファイルは開かない

→現時点の情報では、URLクリックするとファイルがダウンロードされるだけらしいですが、予期せぬ感染方法もあるのでURLはクリックしないのが吉です。

※もし誤ってクリックしてしまい、何かをダウンロードしようとしていたらキャンセルしましょう。

※もしダウンロードしてしまったら、そのファイルは開かないで捨てましょう。

