トレンドマイクロは2015年6月25日、複合機からの通知メールに見せかけたウイルスメールが出回っているとして注意を呼びかけた。送信元アドレスのドメイン名を送信先アドレスのドメイン名と同じにして、企業内の複合機から送られたメールに見せかける。添付のWordファイルを開くとウイルスに感染する恐れがある。実際、国内企業で被害が出ている。
ネットワークに接続する企業向け複合機の多くは、スキャナー機能でスキャンした画像を、ファイルとしてメールに添付してユーザーに送信する機能を備える。今回確認されたウイルスメールは、この機能によって送られたと見せかけて、添付したウイルスをユーザーに開かせようとする。
今回のウイルスメールの特徴の一つは、企業内の複合機から送られたように見せかける点。送信者(差出人)アドレスのドメイン名を、受信者のドメイン名と同じにする。具体的には、「scanner@(受信者の企業・組織のドメイン名)」となる。例えば、ウイルスメールの受信者が所属する企業のドメイン名が「example.com」の場合、ウイルスメールの送信者アドレスは「scanner@example.com」になる。
送信者(差出人)アドレスとしてメールソフトやWebブラウザーに表示されるのはヘッダー情報であり、偽装可能である。実際、トレンドマイクロが送信元のIPアドレスを調査したところ、ウイルスメールは、米国、ブラジル、エクアドル、ベトナム、インドといった海外から送られていたという。
ウイルスメールの件名は「Message from (アルファベット4文字)_C280」、添付ファイルは「S(アルファベット4文字)_C280(送信日に基づく数字列)」(図1)。これらは、ある国内メーカー製の複合機が送信する通知メールの形式と同じなので、その複合機を利用する企業を狙っている可能性があるとしている。
