前回の2016年6月17日に、バンキングトロージャン「Beloh」感染を狙った日本への攻撃が急増として取り上げましたが、その後も様々な日本語スパムメールでの攻撃が相次いで確認されています。
※ハンキングトロージャンとは、利用者のログイン、パスワードなど情報を盗み取る特徴を持っています。
いずれもESETでは「Win32/Spy.Bebloh.K」として検出するもので、前回ご紹介したものと亜種であることはすでに確認されています。2016年6月26日から6月29日かけて確認されている日本語による攻撃メールを以下に取り上げます。
これまでに確認されているバンキングトロージャン「Bebloh」感染を狙ったメール例
出金
○メール本文
出金取引をお知らせします。
利用日 :平成28年6月29日
利用内容 :契約者貸付
利用金額 :170,000円
うち手数料:0円
利用先 :インターネット
(送信番号631630T5522N000789)
◇ご連絡◇◇◇◇◇◇◇◇◇◇◇◇◇◇◇
℡03-○○○○-4976
Fax03-○○○○-4437
※電話番号は伏せています。
○添付ファイル
「19ELFVXPA545EPM3UG.zip」など
出金
○メール本文
■お届け予定日時
6月30日 時間帯希望なし
※お届け予定日時につきましては、ゴルフ・スキー・空港宅急便(施設宛)の場合、プレー日(搭乗日)を表示しております。
■品名:****************
■商品名:宅急便
■ご依頼主:
■伝票番号:8840-7844-6601
ヤマト運輸株式会社
○添付ファイル
「19ELFVXPA545EPM3UG.zip」など
(銀行)お振込受付のお知らせ
○メール本文
~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~
※本メールは、セキュリティ強化のため、電子署名をつけてお送りしています。
~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~∞~
2016年6月16日にお振り込みを受け付けいたしましたので、ご連絡いたします
(受付番号 20160616-001)。
本メールは、お取引の受付確認のために送信しております。
送信を中止することはできませんので、あらかじめご了承ください。
なお、お取引につきましては【入出金明細照会】等でもご確認ください。
──■□────────────────────────────────────□■──
■お問い合わせ先
<インターネットバンキングヘルプデスク>
■本メールの送信アドレスは送信専用となっております。返信メールでのお問
い合わせは承りかねますので、あらかじめご了承願います。
────────────────────────────────────
no:70767167545

Spam: 駐車 支払の件
○メール本文
If this email is not spam, click here to submit the signatures to FortiGuard - AntiSpam Service.
支払は2月29日に3月~5月分を支払い済み
1台1か月分15,000円
7月1台分を6月末に支払うつまり
15,000を6月末に支払ってください。
また次回7月末から毎月末に次月分15,000円を駐車料の前払いで払ってください。
--
※※※※※※※※※※※※※※※※※※※※※※※※
○添付ファイル
「SKMBT_○○○○_(10桁数字).zip」

この添付ファイルであるZIPファイルを展開すると、二重拡張子でファイル名が付けられています。このファイルですが、実際にはexe形式の実行アプリケーションであり、開いたユーザーに対して気づかせないようにするなど対策を施しているところは前回お知らせした手法と代わりません。一例として、以下のような作られ方をしています。
これまでの日本語スパムメールは、文章の途中に誤訳的なものや中国語フォントが使われているものなど、日本人が本文を読んで違和感ですぐに怪しいと気が付けるケースはありました。今回の例でいうとメール例6が特徴的だと思います。しかし、最近のものは、日本人が日本語として読めるような内容になってきており、精度が向上してきています。また、メール例1~5のようなケースで、普段から日本人同士でやりとりされている場合は、違和感なく読んでしまうケースも出てくると思います。
今後も、メール件名や本文を変えて、かつWin32/py.Beblohの亜種によるメール攻撃が継続されると思われますので、メールの取り扱いにご注意ください。また、感染に気付くのが遅れるケースもあります。そのような場合に備え、ログインに必要なパスワードなどは定期的に変更するなどに心がけていただき、リスクを最小限にできるよう対応してください。
なお、このウイルスは、ESET製品にて以下の通り検出されます。
■ 対応しているウイルス定義データベースと検出名
2016年6月15日(日本時間)に配信されたウイルス定義データベースにて、下記の検出名で再定義されました。
ウイルス定義データベースにて、下記の検出名で検出されます。このウイルス自身は2009年から確認されているタイプのものであり、当初より定義されたものではありますが、再定義により検出精度の向上を図っています。
ウイルス定義データベース:13648 (20160615) 以降
Win32/Spy.Bebloh.K トロイの木馬
Win32/Spy.Bebloh.M トロイの木馬
Win32/Spy.Beblohの亜種 トロイの木馬
※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。
※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。
また、クラウドマルウェアプロテクションシステムによるLiveGrid検出では、
Suspicious File
Genentik の亜種 トロイの木馬
として検出されます。
■ 常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。
1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。
2. OSのアップデートを行い、セキュリティパッチを適用する
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。
3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する
各種アプリのアップデートを行い、脆弱性を解消してください。
4. データのバックアップを行っておく
5. 脅威が存在することを知る
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。