欧州メインのスパム攻撃、日本向けに手口変更で拡大の恐れ

オンラインバンキングマルウェアに感染させるメール攻撃が日本向けにカスタマイズされ、2015年12月から拡大の様相をみせているという。

[ITmedia]

　セキュリティ企業のファイア・アイは2月1日、オンラインバンキングを狙うマルウェアに感染させるためのメールを通じたサイバー攻撃が日本で拡大していると注意を呼び掛けた。従来は欧州が中心だったものの、メールに日本語を使うなど日本向けに手口を変えているという。

　同社によると、メールを通じて感染するマルウェアの「URLZone」（別名Shiotob/Beblohなど）は、2009年に初めて発見された古いトロイの木馬で、オンラインバンキングのユーザーを狙う。このマルウェアに感染させるメールの件名や内容は簡素だが、件名には英語や日本語が含まれ、本文は短い日本語になっていた。

確認された攻撃メールのサンプル（ファイア・アイより）

　攻撃では攻撃者が狙う地域の言語や、メール送信のアカウントドメインが使われるのが特徴だといい、国内では2015年12月16日前後と21日前後に多数観測。送信メールのドメインの大半は、国内で利用者の多い「softbank.jp」や「yahoo.co.jp」が使われていたという。

確認された攻撃の発生状況（2015年12月）

　メールには拡張子が、「DOC」や「JPG」などに偽造されたファイルが添付され、これを開いてしまうと「URLZone」に感染する恐れがある。URLZoneは感染先のコンピュータの内容や稼働状況、WebやFTP、メールの情報と認証情報などを盗んで攻撃者のサーバに送信する。

　また、コンピュータの正常な動作プロセスなどに紛れ込んだり、コンピュータの起動やシャットダウン時などにレジストリを改ざんしたりするなどして不正な行動を隠ぺいするほか、仮想化環境を検出すると行動を停止させ、セキュリティソフトなどによる検知を逃れようとする。

　同社では2016年1月19日と20日にも大規模な攻撃活動を確認。「日本での活動がさらに拡大すると考えられ、送信者不明のメールの閲覧には十分注意すること」と解説する。