exeファイル(実行ファイル)やスクリプトをメールに添付し、ユーザーに実行させる──。ユーザーのパソコンをウイルスに感染させるための一般的な手口です。

 ところが2016年10月頃、こうした手口とは異なる攻撃が話題になりました。メールにはウイルスを添付せず、メールの本文や添付ファイルでウイルス駆除ツールを案内します。従来は見かけなかった手口です。ウイルスをウイルス駆除ツールに見せかけて、ユーザー自身にダウンロードおよび実行させるのです。今回は、この攻撃について解説します。

添付されているのは無害のPDF

 筆者がこの攻撃を知ったのは、ICT-ISACと総務省が2016年11月に公表した注意喚起がきっかけでした(図1)。数日後、NTTコミュニケーションズも同社の名をかたった偽メールが出回っているとして、同様の注意喚起を出しました。

図1●IT関連の組織の名をかたった不審なメールがばらまかれる
図1●IT関連の組織の名をかたった不審なメールがばらまかれる
IT関連の業界団体であるICT-ISACやNTTコミュニケーションズの名をかたった不審なメールを送り付け、ウイルスをダウンロードさせる攻撃が2016年10月~11月に発生した。
[画像のクリックで拡大表示]

 この攻撃では、実在するIT関連の業界団体であるICT-ISACの名をかたり、ウイルス駆除ツールをダウンロードするようにメールの本文と添付ファイルで促します図2)。このメールは、ICT-ISACが総務省などと実施したプロジェクトで実際に配信されたものがベースになっているようです。

図2●“手順書”でユーザーをだましてウイルスをダウンロードさせる
図2●“手順書”でユーザーをだましてウイルスをダウンロードさせる
攻撃者はzipファイルを添付したメールを送り付ける。添付ファイルを解凍すると、2種類のPDFファイルが作成される。そのうち一つには、ウイルス駆除ツールをダウンロードする手順が書いてある。手順に沿って操作すると、ウイルス駆除ツールに見せかけたウイルスがダウンロードされる。
[画像のクリックで拡大表示]

 メールにはzipファイルが添付されています。解凍すると、二つのファイルが現れます。これらは無害なPDFファイルで、ウイルスではありません。

 PDFファイルの一つは、以前ICT-ISACや総務省が実施したプロジェクトの概要を説明した文書でした。もう一つには、駆除ツールをダウンロードする手順が5ページにわたって詳しく書かれています。パソコンに不慣れなユーザーでも、手順に従って操作すれば駆除ツールをダウンロードできます。しかし、この駆除ツールとされているものが実はウイルスなのです。ユーザーがこのファイルを実行すると、ランサムウエアと呼ばれるウイルスに感染します。

▼ICT-ISAC
通信事業者や放送事業者、セキュリティベンダーなどで構成する業界団体。サイバーセキュリティに関する情報収集や調査などを実施する。2016年3月に発足した。日本データ通信協会テレコム・アイザック推進会議(Telecom-ISAC Japan)の後継。
▼本文と添付ファイルで促します
今回の攻撃は標的型攻撃ではなく、不特定多数に同じ文面のメールを送り付ける「ばらまき型」だった。とはいえ、それほど多くはばらまかれていないように見える。Twitterなどで調べたところ、この攻撃に言及した発言は少なかった。ある程度、宛先を絞って偽メールを送り付けているのかもしれない。
▼実施したプロジェクト
インターネットバンキングの不正送金を行うウイルス(VAWTRAK)を駆除するためのプロジェクト。プロジェクト名は「官民連携による国民のマルウェア対策支援プロジェクト(略称ACTIVE)」。
▼ランサムウエア
ランサムウエアのランサム(ransom)とは、身代金の意味。