「宅配便」「駐車場の支払催促」などバラエティ増す偽メール - 「不正送金マルウェア」を添付

普段よく利用する宅配便業者から届いた「お届け予定日時」の予告メール。実は、まったくの偽物で、添付ファイルがオンラインバンキングの情報を盗み出すマルウェアだった——そのような攻撃が多発している。宅配便に限らず、さまざまな偽メールが出回っており、注意が必要だ。

偽メールの例（画像：CITS）

セキュリティベンダーが警戒を強めているのは、「URLZone」「Shiotob」といった別名でも知られるマルウェアの「Bebloh」を、添付ファイルとして送りつける手口。「Bebloh」は、感染するとオンラインバンキングの情報を盗み出すトロイの木馬だ。

歴史は比較的古く、2009年ごろより欧州を中心に活動していたが、2016年2月ごろより国内で本格的な感染活動を展開。トレンドマイクロによれば、2016年第1四半期の検知数は、前期比12.1倍へと急拡大し、同社の検知数において8割以上を占めた。

「Bebloh」の感染活動としては、日本郵政を偽装するケースが知られている。自身が金融機関の情報を盗み出すマルウェアだが、「Ursnif」「Snifula」「Papras」としても知られる別の不正送金マルウェア「Gozi」をダウンロードし、多重感染を招くこともある。

「Bebloh」の検知動向（グラフ：ESET）

6月に入ってからも活発な活動を見せており、ESETによれば、感染活動のピークを迎えた6月中旬には、同社感染率において約50％に達した。その後小康状態だが、引き続き観測されている。

キヤノンITソリューションズによれば、6月26日から6月29日までの3日間に、同社が確認しただけでも、同マルウェアを添付したメールは、6種類におよぶ。いずれも日本語で記載されており、受信者が興味を持つ内容を記載したソーシャルエンジニアリングが用いられていた。

具体的には、銀行を装った「振込受付通知」や、ヤマト運輸の「届け出予定日時の案内」を装う手口のほか、「駐車場の支払催促」「貸付による出金通知」「管理費の金額確認メール」「保安検査の通知」などに見せかけた「偽メール」が確認されている。

メールの本文は、不自然な日本語のメールもあるものの、日本語として違和感を感じさせないメールも増えているという。これらメールにはZIPファイルが添付されており、中身は実行ファイルで誤って開けばマルウェアへ感染。オンラインバンキングなどのアカウント情報が盗まれる危険が潜む。

今後さらに、メール本文などのバリエーションが増える可能性もあり、メールの添付ファイルには細心の注意が必要だ。

（Security NEXT - 2016/06/30 ）ツイート