ここから本文です

WannaCryの裏で「駐禁報告書」メール21万件超が大量拡散、添付ファイルはウイルス、銀行・カード情報など盗み取る

Impress Watch 5/19(金) 14:39配信

 ランサムウェア「WannaCry」による世界規模のサイバー攻撃に注目が集まる裏で、日本では「駐禁報告書」などの件名のウイルス付きスパムメールが今週に入って大量に拡散されているとして、トレンドマイクロ株式会社が注意を呼び掛けている。添付ファイルを開いて感染してしまうと、ネット銀行サービスやクレジットカードサービス、各種ネットサービスのアカウント情報などが盗み取られるという。

【この記事に関する別の画像を見る】

 さまざまな件名を使い分けながら拡散されており、トレンドマイクロで日本時間の5月14日から18日15時までの約5日間で43万件3000件を確認している。件名は、5月15日に配信されたものは「予約完了[るるぶトラベル]」「配信」といったものだったが、16日には「請求書」「文書」「請求書「invoice」」「保安検査」「【賃貸管理部】【解約】・駐車場番」など、17日には「駐禁報告書」「全景写真添付」「御礼」「トレンドデータ」「キャンセル完了のお知らせ」「発送の御連絡」「EMS配達状況の確認 ? 郵便局 ? 日本郵政」など、18日は「Fwd: 支払条件確認書」といった件名で配信されていた。

 トレンドマイクロが検出したうちで最も多かったのは「駐禁報告書」の21万4000件で、全体の49.47%とほぼ半数を占める。次いで「【賃貸管理部】【解約】・駐車場番」が17.24%。一方、15日夕方ごろからTwitter上でも話題になった「予約完了[るるぶトラベル]」は0.35%(1500件)で少数だったという。

 また、時間帯別の拡散量の推移を見ると、16日・17日が特に多く、中でも朝5時から6時が極めて多いことが判明。トレンドマイクロでは、「定かではないが、国内のネット利用者が勤務先などでパソコンを立ち上げる直前の起床するあたりの時間に拡散させているところには、もしかしたら何らかの意図、理由があるのかもしれない」と指摘している。

 これらのメールで拡散されているウイルスは、いずれも「URSNIF」という種。今回の一連の攻撃で情報を盗み取る対象となっているは、地方銀行16行、都市銀行3行、インターネット銀行2行、クレジットカード会社10社、検索エンジン2件など。さらに、共同化システムのドメイン2件も含まれており、対象となる金融機関はこの数字以上に上るとしている。

 なお、トレンドマイクロのセキュリティ製品では、同じく14日から18日15時までの間に、1万6525件のURSNIFを検出・ブロックしたという。これらについてはURSNIFの起動はブロックされたわけだが、添付ファイルを開こうとしたメール受信者が一定数いることが推測されると指摘。「この一連のスパムメールの拡散活動は継続して行われており、ユーザーはこれらの添付ファイル付きのスパムメールを安易に開かないよう注意が必要だ」と、トレンドマイクロでは注意を呼び掛けている。

■拡散中ウイルス付きメールの件名は、警視庁のTwitterアカウントでいち早くチェック

 今回のスパムメールで拡散されていたURSNIFは、別名「Gozi」「Snifula」「Papras」などとも呼ばれるもの。これらの感染をもくろむウイルス付き日本語メールが大量に送信されている昨今の状況を受け、警視庁では、こうしたウイルス付きメールの早期把握・情報提供を行っている。拡散が確認されたウイルス付きメールの具体的な件名を、同庁の公式Twitterアカウントにおいて「早期警戒情報」としていち早くツイートしている。

【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「ご注文ありがとうございました」。本文は添付書類を開くよう誘導する内容となっていますが、添付ファイルはPDF文書を装ったウイルスです。ご注意ください!

― 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年5月18日

 また、メールの文面や添付ファイルの名称などは、一般財団法人日本サイバー犯罪対策センター(Japan Cybercrime Control Center:JC3)のウェブサイトで注意喚起情報として公表している。

INTERNET Watch,永沢 茂

最終更新:5/19(金) 14:39

Impress Watch