NEWS

ニュース | 最新のニュースをお届けします

不正送金マルウェアとランサムウェア感染を狙ったメール攻撃が集中して発生

この記事をシェア

2016年3月22日から3月23日にかけて、メールを利用した「ばらまき型」攻撃による広範囲でのキャンペーンと見られる兆候がいくつか確認されました。今回のキャンペーンでは、主に「Locky」ランサムウェア感染を狙ったものと、不正送金マルウェア「Rovnix」感染を狙ったものが確認されています。

実際に日本でも多くの方がこれらの不審メールを受けたのではないかと思われます。この影響により、弊社のサポートセンターへの相談も増加しています。現在も今回の攻撃キャンペーン等調査を継続しておりますが、先に確認されたメールの特徴を取り上げておきます。

ランサムウェア感染を狙ったメールの特徴

主に3種類の請求書を装ったメールが確認されており、メールの発信元が複数国のプロバイダを介してばらまかれているものと見られます。これらのメールに添付されたファイルは、ランサムウェア「Locky」の亜種を感染させるJavaScript形式で作られたダウンローダーであることが確認されており、ESET製品では「JS/trojanDownloader.Nemucod」で検出・駆除を順次対応しています。下記のようなメールが届いていたらご注意ください。なお、感染の流れは前回解説した「新種ランサムウェア「Locky」の感染が国内で急増」と同じようなふるまいであることが確認されています。

ランサムウェア感染を狙ったメール文の例

件名が「Document 2」
本文はなし
添付ファイルは、「Document 2.zip」
件名が「Message from ****_○○○○」
本文はなし
添付ファイルは、「****_○○○○_(10桁数字).zip」
件名が「Voicemail from (10桁の数字)」
本文がボイスメール情報を装った内容
添付ファイルが「msg_(36桁のハイフン含む英数字)」
件名が「Fax transmission: (42桁のハイフン含む英数字)」
本文がFax情報を装った内容
添付ファイルが「(43桁のハイフン含む英数字).zip」

今後も同じような内容でメールが送られる可能性がありますので、メールのお取り扱いにご注意ください。

ランサムウェア検出の傾向

先月からランサムウェア感染を狙ったメールは、依然として多い傾向が続いています。ESET製品では、メールに添付されたものはダウンローダー「JS/TrojanDownloader.Nemucod」として検出するよう対応しています。「JS/TrojanDownloader.Nemucod」の検出量は3月初めから3月21日まで継続的に検知されており、かつ今回の攻撃キャンペーンが発生しています。今回の攻撃に対しては現在集計中ですが、3月21日に比べ多くなるものと推測されます。

日本の「JS/trojanDownloader.Nemucod」の検出状況(2016年3月23日17:00現在)

追記(3月24日10:00現在)
3月22日までの集計が出ましたので、以下のグラフを追加しています。傾向として高い数値で推移していることが確認できます。

日本の「JS/trojanDownloader.Nemucod」の検出状況(2016年3月24日10:00現在)

 

不正送金マルウェア感染を狙ったメールの特徴

こちらは、日本語メールによる攻撃が多くの確認や報告されています。その本文等の特徴としては複数のパターンが用意されており、先日警視庁のツイッターでも注意喚起されている通り、これらの添付ファイルを開いてしまうと不正送金マルウェア「Rovnix」に感染してしまいます。ESET製品では、「Win32/Rovnix」や「Win32/Kriptik」の亜種として順次検出・駆除対応をしています。

不正送金マルウェア感染を狙ったメール文の例

件名が「3-1」
本文に「3部1です。」と記載されたもの
添付ファイルは「3-1-IMG_2016_0003.jpg.zip」で展開すると「3-1-IMG_2016_0003.jpg.exe」のマルウェア本体が含まれる
件名が文字化けによりコード表記
本文に「お早うございます。」「昨日の、メールはもしかしたら添付されていなかったかもしれませんので再送します。」と記載されたもの
添付ファイルは「○○○-JPG.zip」で、展開すると「画像00476388-JPG.jpg.exe」のマルウェア本体が含まれる
件名が文字化けによりコード表記
本文に「いつもお世話になります。」「宜しくお願い致します。」と記載されたもの
文末に「事務局」と記載されたもの
添付ファイルは「○○○-DOC.zip」で、展開すると「レポート03.2016.DOC.exe」のマルウェア本体が含まれる
件名がなし
本文が注文完了のメッセージを装った内容
添付ファイルは「(6桁の数字).zip」で、展開すると「payment.js」と不正送金マルウェアをダウンロードさせるスクリプトが含まれている。これが実行されるとscr形式(スクリーンセイバー)のプログラムをダウンロードし発症する。

以上のように、最後の一通については前半で解説したランサムウェア感染と同じような手口のパターンを見受けられました。今後も様々な方法で攻撃が行われる可能性がありますのでご注意ください。

不正送金マルウェア「Win32/Rovnix」の検出の傾向

日本の「JS/trojanDownloader.Nemucod」の検出状況(2016年3月23日17:00現在)

前半でランサムウェアと比較すると、メール攻撃の特徴として日本をターゲットにしていることが明らかであることです。日本郵政装ったメール攻撃を始め不正送金マルウェア感染の攻撃は今後も止むことなく続くものと見ています。

今後も亜種によるメール攻撃が継続されると思われますので、メールの取り扱いにご注意ください。また、万が一ランサムウェアの感染に備え、重要なデータは定期的にバックアップを取るなどの対策を講じてください。

なお、このウイルスは、ESET製品にて以下の通り検出されます。


■ 対応しているウイルス定義データベースと検出名
  ウイルス定義データベースにて、下記の検出名で検出されます。

ウイルス定義データベース:13106 (20160323) 以降

JS/TrojanDownloader.Nemucod トロイの木馬
JS/TrojanDownloader.Nemucod の亜種 トロイの木馬
Win32/Filecoder.Locky トロイの木馬
Win32/Filecoder.Locky の亜種 トロイの木馬
Win32/Kriptik トロイの木馬
Win32/Kriptikの亜種 トロイの木馬
Win32/Rovnix トロイの木馬
Win32/Rovnixの亜種 トロイの木馬
Win32/Papras トロイの木馬
Win32/Paprasの亜種 トロイの木馬

※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。

※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。

また、クラウドマルウェアプロテクションシステムによるLiveGrid検出では、
  Suspicious File
  Genentik の亜種 トロイの木馬 として検出されます。


■ 常日頃からリスク軽減するための対策について

各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。

1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする

ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。

2. OSのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。

3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行い、脆弱性を解消してください。

4. データのバックアップを行っておく

万が一ウイルスに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。 念のため、データのバックアップを行っておいてください。

5. 脅威が存在することを知る

「知らない人」よりも「知っている人」の方がウイルスに感染するリスクは低いと考えられます。ウイルスという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
この記事をシェア

ランサムウェアのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!