トレンドマイクロは2015年10月9日、10月8日午前6時からの12時間に同じウイルスに感染させようとするメールが1万3000通以上見つかったと発表しました。文面は2種類あり、どちらもWordファイルが添付されていました。

▼見つかったと発表しました トレンドマイクロの「セキュリティブログ」(http://blog.trendmicro.co.jp/archives/12343)参照。

 1つは、Raspberry Piなどの電子部品を販売するアールエスコンポーネンツ(横浜市)が運営する通販サイトからの注文確認を装った内容でした(図1上)。もう1つは、リコーの複合機からのメールを装っていました(同下)。同じウイルスへの感染を狙った、全く異なる文面のメールが同時期にばらまかれた珍しい事例でした。

図1●12時間で1万3000通以上出回った攻撃メール
図1●12時間で1万3000通以上出回った攻撃メール
攻撃者は、不特定多数のユーザーに対し、「注文確認」や「複合機の通知」を装ったメールを送り付けた。メールは合計で1万3000通以上確認された。
[画像のクリックで拡大表示]
▼Raspberry Pi 英国で教育用に開発された小型パソコン基板。略称でラズパイと呼ばれる。

 これらのメールを受信した組織の中には、攻撃を恐れてネットワークをインターネットから遮断した組織があったと聞きました。しかしそれは、過剰反応ではないでしょうか。

うっかり開いてしまいそうな文面

 まずは、攻撃の流れを見てみましょう。

 注文確認を装ったメールは、「ご注文ありがとうございました-添付ファイル『出荷のご案内』を必ずご確認ください」という件名で送られてきます(図2)。「出荷のご案内」として添付されていたファイルがWordファイルでした。

図2●「注文確認」や「複合機の通知」を装うメールを使った攻撃
図2●「注文確認」や「複合機の通知」を装うメールを使った攻撃
ユーザーが添付のWordファイルを開くとマクロが実行され、ウイルスをダウンロードしてオンラインバンキングの認証情報を盗まれる。攻撃者は、金銭の窃取を目的としていた。
[画像のクリックで拡大表示]

 一方の複合機の通知を装ったメールは、複合機がスキャンしたデータをあたかもユーザー宛てに送ったかのように装っていました。複合機の中には、スキャンしたデータを文書ファイルや画像ファイルの形式で送信してくれる便利な製品があります。攻撃者はこの機能のメールを装って、Wordファイルを送ったようです。