トレンドマイクロは2015年10月9日、10月8日午前6時からの12時間に同じウイルスに感染させようとするメールが1万3000通以上見つかったと発表しました▼。文面は2種類あり、どちらもWordファイルが添付されていました。
1つは、Raspberry Pi▼などの電子部品を販売するアールエスコンポーネンツ(横浜市)が運営する通販サイトからの注文確認を装った内容でした(図1上)。もう1つは、リコーの複合機からのメールを装っていました(同下)。同じウイルスへの感染を狙った、全く異なる文面のメールが同時期にばらまかれた珍しい事例でした。
これらのメールを受信した組織の中には、攻撃を恐れてネットワークをインターネットから遮断した組織があったと聞きました。しかしそれは、過剰反応ではないでしょうか。
うっかり開いてしまいそうな文面
まずは、攻撃の流れを見てみましょう。
注文確認を装ったメールは、「ご注文ありがとうございました-添付ファイル『出荷のご案内』を必ずご確認ください」という件名で送られてきます(図2)。「出荷のご案内」として添付されていたファイルがWordファイルでした。
一方の複合機の通知を装ったメールは、複合機がスキャンしたデータをあたかもユーザー宛てに送ったかのように装っていました。複合機の中には、スキャンしたデータを文書ファイルや画像ファイルの形式で送信してくれる便利な製品があります。攻撃者はこの機能のメールを装って、Wordファイルを送ったようです。