exeファイル(実行ファイル)やスクリプトをメールに添付し、ユーザーに実行させる──。ユーザーのパソコンをウイルスに感染させるための一般的な手口です。
ところが2016年10月頃、こうした手口とは異なる攻撃が話題になりました。メールにはウイルスを添付せず、メールの本文や添付ファイルでウイルス駆除ツールを案内します。従来は見かけなかった手口です。ウイルスをウイルス駆除ツールに見せかけて、ユーザー自身にダウンロードおよび実行させるのです。今回は、この攻撃について解説します。
添付されているのは無害のPDF
筆者がこの攻撃を知ったのは、ICT-ISAC▼と総務省が2016年11月に公表した注意喚起がきっかけでした(図1)。数日後、NTTコミュニケーションズも同社の名をかたった偽メールが出回っているとして、同様の注意喚起を出しました。
この攻撃では、実在するIT関連の業界団体であるICT-ISACの名をかたり、ウイルス駆除ツールをダウンロードするようにメールの本文と添付ファイルで促します▼(図2)。このメールは、ICT-ISACが総務省などと実施したプロジェクト▼で実際に配信されたものがベースになっているようです。
メールにはzipファイルが添付されています。解凍すると、二つのファイルが現れます。これらは無害なPDFファイルで、ウイルスではありません。
PDFファイルの一つは、以前ICT-ISACや総務省が実施したプロジェクトの概要を説明した文書でした。もう一つには、駆除ツールをダウンロードする手順が5ページにわたって詳しく書かれています。パソコンに不慣れなユーザーでも、手順に従って操作すれば駆除ツールをダウンロードできます。しかし、この駆除ツールとされているものが実はウイルスなのです。ユーザーがこのファイルを実行すると、ランサムウエア▼と呼ばれるウイルスに感染します。
通信事業者や放送事業者、セキュリティベンダーなどで構成する業界団体。サイバーセキュリティに関する情報収集や調査などを実施する。2016年3月に発足した。日本データ通信協会テレコム・アイザック推進会議(Telecom-ISAC Japan)の後継。
今回の攻撃は標的型攻撃ではなく、不特定多数に同じ文面のメールを送り付ける「ばらまき型」だった。とはいえ、それほど多くはばらまかれていないように見える。Twitterなどで調べたところ、この攻撃に言及した発言は少なかった。ある程度、宛先を絞って偽メールを送り付けているのかもしれない。
インターネットバンキングの不正送金を行うウイルス(VAWTRAK)を駆除するためのプロジェクト。プロジェクト名は「官民連携による国民のマルウェア対策支援プロジェクト(略称ACTIVE)」。
ランサムウエアのランサム(ransom)とは、身代金の意味。