ICT-ISACから送信したかのように見せかけてランサムウェアに感染させるメール攻撃が確認された。トレンドマイクロによれば、日本を標的にした新たな攻撃活動が疑われる。
10月下旬に「総務省共同プロジェクト」を名乗るメールの流通が確認され、総務省と詐称された「ICT-ISAC」が注意を呼び掛けた。このメールを解析したトレンドマイクロによれば、ランサムウェアを使用するサイバー犯罪者が日本を標的にし始めた可能性があるという。
問題のメールは、「インターネットバンキングに係るマルウェアへの感染者に対する注意喚起及び除去ツールの配布について」といった件名で出回った。受信者にマルウェア駆除を呼び掛ける内容とともに、注意喚起の内容および駆除ツールの説明とする2つのPDFファイルが、ZIP形式の圧縮ファイルで添付されている。受信者がPDFファイルにある説明に沿ってコンピュータを操作し、「マルウェア除去ツール」と称するプログラムをダウンロードすると、ランサムウェアの「Ransom_MISCHA.E」(トレンドマイクロの検出名)に感染してしまう。
メールは、Torを使うフリーメールサービスの「SIGAINT」から送信され、実際の送信者を追跡するのは困難という。また、駆除手順を示したPDFファイルにはWindows OSに搭載されている「Windows Defender」をオフにさせる説明があるものの、「Windows Difender」とスペルが間違っていた。「マルウェア除去ツール」を称するランサムウェア「Ransom_MISCHA.E」は、クラウドストレージサービスのMegaからダウンロードされる。ランサムウェア感染を狙う攻撃メールでは「LOCKY」が流行っているが、この攻撃ではマイナーな「Ransom_MISCHA.E」が使われているという。
トレンドマイクロによると、このメールは国内では30件ほどしか確認されておらず、限定的な範囲で配信されたとみる。しかし、同様の手口による2種類のメール攻撃が確認され、いずれも数通しか出回らなかったが、日本を標的にしている犯罪者が大規模攻撃を仕掛けるために、攻撃手法を試行錯誤している可能性があるという。
このメールで送信者として詐称された「ICT-ISAC」は、2016年6月に設立された情報通信・放送分野のサイバーセキュリティ活動を行う社団法人。前身は日本データ通信協会の「テレコム・アイザック推進会議」(Telecom-ISAC)で、Telecom-ISACは総務省と経済産業省が2006年から2011年にかけて実施したボット対策プロジェクト「サイバークリーンセンター」の運営に携わっていた。
メールを送り付けた犯罪者は、こうした正規のセキュリティ団体による活動内容や経緯を把握した上で受信者をだます手口を考案した可能性もある。
トレンドマイクロは、犯罪者が攻撃を成功させるために常に手口を変化させており、常に最新の脅威動向を知り、新たな手口にだまされないよう注意を払うこと、また、不審なメールを可能な限りフィルタリングして、一般の利用者の手元に届かないようにする対策も重要だと解説している。
Copyright © ITmedia, Inc. All Rights Reserved.