トレンドマイクロでは 2016年2月14日以降、日本郵政からのメールを偽装するマルウェアスパムが国内で拡散していることを確認し注意喚起致します。同種の偽装メールは昨年12月以降に散発的に確認されていましたが、その手口が再度勢いを増しているものと思われます。
図1:日本郵政を偽装したマルウェアスパムのサンプル
このマルウェアスパムには ZIP圧縮ファイルが添付されており、展開すると「郵便局 – 日本郵政_お問い合わせ番号_###########から 100通_FDP.SCR」(「#」は数字)のようなファイル名の不正プログラムが現れます。この不正プログラムをトレンドマイクロ製品では「PAWXNIC(ポウクスニック)」の検出名で検出対応しています。
この「PAWXNIC」はHTTPS通信を使用したダウンローダ活動を行います。この際に、実在のルート証明書に偽装した証明書を感染環境にインストールします。通常の環境ではこのインストールの際に以下のような警告ダイアログが表示されます。
図2:「PAWXNIC」がインストールするルート証明書例
しかし、「PAWXNIC」はこの警告ダイアログが描画されたすぐ後に「はい」ボタンを自動的に押下し、ユーザの操作なしにインストールを完了させます。
最終的には、不正プログラム「ROVNIX」がダウンロードされます。この「ROVNIX」は国内ネットバンキングを狙う活動を持つオンライン銀行詐欺ツールです。「ROVNIX」が感染した状態でネットバンキングサイトへアクセスすると、偽画面を表示するなどの方法で認証情報が詐取されます。今回確認した「ROVNIX」では都市銀行、地方銀行、信用金庫、共同化システムを含む 30のネットバンキングサイトを標的としています。
このマルウェアスパムの送信元として、ロシアのフリーメールのアドレスが利用されています。トレンドマイクロでは、同一のフリーメールを使用した日本語スパムの送信事例を昨年末から継続して観測しており、同じ攻撃者による一連の攻撃キャンペーンが背景にあることが推測されます。トレンドマイクロのクラウド型セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計によれば、2月14~18日の間にこのマルウェアスパムにより拡散される不正プログラムの検出を国内で 2,800件以上確認されています。
図3:日本郵政を偽装したマルウェアスパムから拡散される不正プログラムの検出台数推移
■ 被害に遭わないための注意点
今回の事例に限らず、広く一般のインターネット利用者を狙う不正プログラムの攻撃では、電子メール経由の拡散とWeb経由(特にWeb改ざんと不正広告)の 2つの経路が主な侵入手法となります。このため、一般的なウイルス対策だけでなく、Web とメールという二大侵入経路への対策を含む総合セキュリティ対策製品の使用が不可欠です。そして、脆弱性対策を含めてそもそもの不正プログラム対策を怠らないようにすると同時に、正しい脅威拡散の情報から電子メール受信者を騙す手口を学び、攻撃者の手口に乗らないような知見を持つことも対策として効果的です。
また今回の事例もそうですが、マルウェアスパムの送信元としてフリーメールのアドレスが使用される事例が増えています。企業においては不審なフリーメールアドレスからの受信を一括してブロックすることも対策として効果的です。同様に添付ファイルが実行可能形式であった場合にブロックする対応も非常に効果的です。
■ トレンドマイクロの対策
今回の攻撃で確認された不正プログラムについては SPN の機能である「ファイルレピュテーション(FRS)」技術により「TROJ_PAWXNIC」、「TROJ_ROVNIX」などの検出名で順次検出対応を行っています。「ウイルスバスタークラウド」、「ウイルスバスターコーポレートエディション」などのエンドポイント製品でのウイルス検出では「FRS」技術が使用されています。
「E-mailレピュテーション(ERS)」技術では不審な送信者からのメールや危険性の高いメールの受信をブロックします。「InterScan Messaging Security Suite」などのメールセキュリティゲートウェイ製品では、ERS技術と同時にコンテンツフィルタリング機能の活用により、添付ファイルなどの条件で危険性の高いメールをフィルタリングすることが可能です。
「Deep Discovery Analyzer」、「Deep Discovery E-Mail Inspector」などの製品に実装されたサンドボックス機能では、プログラムファイルの活動を解析することで検出対応前の不正プログラムであっても危険性を警告し、ブロックすることが可能です。
トレンドマイクロ Regional Trend Labs