突然だが想像してみてほしい。
連休の前後はウイルスメールが増えるような。
セキュリティー会社のトレンドマイクロは10月9日、リコー製のプリンタ・コピー・FAX複合機からの電子メール送信を装った不正なメールと、実在の会社を偽装した注文確認メールについて、注意を呼び掛けています。
トレンドマイクロの発表によると、8日午前6時から午後6時までの12時間で約1万3000通もの不正なメールを確認しており、日本国内でリコー製の複合機を使う利用者らに送信されたのが確認されており、銀行などのIDとパスワードを不正に取得し、引き出す狙いがあると見られています。
この不正メールには、実在する会社名で「ご注文ありがとうございました」「添付ファイル『出荷のご案内』を必ずご確認ください」と日本語で綴られており、添付されたMicrosoft Wordファイルを開くと、埋め込まれた不正なマクロによりマルウェアに感染し、オンラインバンキングなどの情報を盗む別のマルウェアに感染する恐れがあるとしています。
プリンタ・コピー・FAX複合機からのメール送信機能を利用した不正なメールは6月にも確認されていますが、今回のメールは日本語で記載されており、より巧妙化していると考えられます。
連休を挟むため、次回の出勤時にメールをチェックする際には注意が必要でしょう。
トレンドマイクロでは対策として、Microsoft Officeでマクロを利用しているユーザーはマクロ機能を有効にしたままにせず、必要に応じて有効/無効を切り替えること、不審なメールを受信した時はIT管理者に連絡すること、IT管理者はメール対策を備えたセキュリティ製品を利用することをアドバイスしています。
弊社複合機からの電子メール送信を装った不審なメールにご注意ください:リコー
「注文確認」、「複合機」2種の偽装メールを同時に確認、狙いはネットバンキング:トレンドマイクロ
※下記メール画像もトレンドマイクロ提供
不正な偽メールの詳細
確認されているプリンタ・コピー・FAX複合機からの電子メール送信を装った不正なメール、実在の会社名を偽装した注文確認メールは日本語で記述されており、いずれもMicrosoft Wordに不正なマクロを含んだファイルが添付されています。
どちらの不正メールも、最終的にはネットバンキングの認証情報を狙うオンライン銀行詐欺ツールを受信者のパソコンに感染させるようになっています。
実在の会社名を偽装する注文確認メールは、横浜市にある電子部品会社の名を騙り商品の注文を受け付けたと書かれており、添付ファイルを開いて商品名や出荷の予定日を確認するよう促しています。
件名は「ご注文ありがとうございました-添付ファイル「出荷のご案内」を必ずご確認ください」という文字列を含んでおり、送信元情報として「R OrderConfirm JP」が設定されています。またメールアドレスのドメインも偽装され、本文内にもこの企業名や正規サイトへのリンクが記載されています。
複合機からの電子メールを偽装するメールの件名は「Message from」で始まり、複合機のスキャナ機能で読み取った文書を電子メールに添付して送ったように装っています。
こちらも送信者のメールアドレスのドメインには受信者と同じ組織のドメインが使われ、社内から発信されたように偽装されています。
また、このメールでは本文の最後に「西東京複合機より送信」という文が含まれています。
不正な偽メールに含まれるマクロ
不正な偽メールに添付されるMicrosoft Wordファイルのマクロは、実行されると不正サイトへアクセスし、ネットバンキングを狙う不正プログラム「SHIZ」をダウンロードします。
「SHIZ」は2015年に入って初めて確認され、2015年7月あたりから日本を狙う攻撃が目立ち始めたオンライン銀行詐欺ツールであり、「SHIFU」の名称でも呼ばれています。
今回の偽装メールは日本のネットバンキングを狙う金銭目的の攻撃であると言えるでしょう。