偽の医療費通知でPCを遠隔操作、年末調整を狙う攻撃か?

健康保険などからの医療費通知メールに偽装して不正プログラムをコンピュータに送り込む攻撃が続いている。

» 2014年11月07日 14時34分 公開
[ITmedia]

 9月頃から医療費の通知メールに偽装して受信者のコンピュータに不正プログラムを送り込む攻撃が続いている。トレンドマイクロが11月7日、この攻撃の手口に関する解析結果を公開、企業の年末調整時期を狙う攻撃との見方を示した。

 同社の解析によると、この攻撃では「健康保険組合」などと名乗ってメールを送りつける。メールには「医療費通知のお知らせ」といった名前の圧縮ファイルが添付されている。圧縮ファイルの中身は一見するとWordファイルだが、実際には拡張子を細工してWordファイルに見せかけて、受信者をだます。これを開くと裏側で不正プログラムが実行されてしまい、最終的にコンピュータを遠隔操作するマルウェアに感染してしまう。

偽装メールの一例(トレンドマイクロより)

 メールの内容は複数あり、中には添付ファイルをWindows環境で開くことを指示したり、パスワード付きの添付ファイルにして別のメールでパスワードを通知したりするなど、巧妙な手口が使われている。同社が確認した検体の全てで、最終的に遠隔操作型のマルウェア(亜種を含む)に感染させるようとすることが分かり、偽装されたWordファイルも全て同一の内容だった。

圧縮ファイル解凍後に生成される細工されたWordファイルとその内容(同)

 同社には今回の攻撃に関連するとみられる問い合わせが、9月中旬頃から寄せられているという。このことから同社は、医療費や保険料などの情報を扱う機会の年末調整の時期を狙った攻撃だと推測している。

 遠隔操作型のマルウェアは、外部の攻撃者のサーバから命令を受けて感染したコンピュータ上で不正な活動を行ったり、感染したコンピュータから盗み出した情報などを攻撃者のサーバへ送信したりする。今回の攻撃では攻撃者のサーバが改ざんされた国内サイトに設置され、マルウェアとの通信を隠ぺいするための手法も使われているという。

 同社は攻撃が拡大する可能性があるとして、例えば、メールの添付ファイルを開く時には表示されたアイコンだけではなく、拡張子や中身が実行形式であるかどうかといった確認をしてほしいとアドバイスしている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ