突然だが想像してみてほしい。
攻撃者は手を休めない。気を抜くとすぐにやられてしまうということ。
トレンドマイクロはオフィスなどにあるプリンタ・コピー・スキャナ・FAX複合機から送信したかのように見せかけた偽のメールでウイルスに感染させる攻撃が確認されたと発表しています。
6月17日現在で2000件以上の偽のメールが確認されており、現在のところは海外での事例が多くなっていますが、日本国内の企業からも数十件の問い合わせを受けているとして、今後同様の手口が広まる可能性もあり注意を呼び掛けています。
この偽装されたメールは複合機からのスキャンデータを偽装し、マクロ型の不正プログラムを含むWordファイルが添付されており、このWordファイルを実行するとインターネットバンキングの情報を不正に取得する機能をプログラムがダウンロードされ実行されてしまいます。
複合機からのメール
ネットワークに対応したプリンタ・コピー・スキャナ・FAX複合機では、スキャンデータなど機器に取り込まれデータをメールでユーザに送信する機能があり、今回の攻撃ではこのメールを偽装して不正プログラムの実行を狙ったものとなっています。
偽装されたメールについて、メールアドレスは「scanner@(受信者の組織ドメイン)」とあたかも社内にある複合機から送信されたようになっているほか、件名は「Message from (アルファベット4文字)_C280」、添付ファイルは「S(アルファベット4文字)_C280(送信日に基づく数字列)」となっており、日本メーカーの特定機種になりすますメールが見つかっています。
トレンドマイクロの調査によると、これらのメールはアメリカ、ブラジル、エクアドル、ベトナム、インドなど様々な国や地域から送信されている形式に偽装されており、この攻撃メールは平日に集中して土日には減少することからも、一般的な週休二日制を採用する企業や組織が狙われている可能性があるとしています。
Microsoft Officeのマクロ機能
以前から複合機の通知メールを偽装する手口の攻撃は確認されていましたが、これまではPDFファイルが一般的で、今回のようにマクロ型の不正プログラムを含んだWordファイルが添付ファイルとなったことが特徴です。
海外ではマクロ型の不正プログラムが2014年4月頃から復活してきており、2015年になってからも攻撃の事例が増加しています。
しかし、Microsoft Officeの標準設定ではマクロは実行されないようになっており、ユーザが何らかの理由で設定を変更しない限り、マクロを利用した攻撃は有効にはなりえません。
しかし、業務の都合でマクロを常時有効にしている環境や、マクロを含んだOfficeファイルを開いた際に自らマクロを有効にしている場合は、不正プログラムが実行されてしまう危険性があることに注意をするべきです。
これまでに確認されている攻撃では、文書ファイルを開いた際に「文字化けを解消するためにマクロを有効にしてください」などといった表示を入れることでユーザをだます手口も確認されています。
「怪しいメールは開かない」というのは当たり前に実践していも、何をもって怪しいメールとするかは難しいところです。