is702
ニュース

件名が「顔文字」「I Love You」「女性芸能人」のメールに注意、危険な攻撃

2019/02/22

トレンドマイクロは2月22日、公式ブログで「『顔文字』、『LoveYou』スパムの背後に凶悪スパムボット、ランサムウェア遠隔攻撃も実行」と題する記事を公開しました。

2019年に入ってから、日本向けにランサムウェアをばらまくマルウェアスパムが流行しており、このスパムメールには以下のいずれかの特徴があります。

・「:-)」のような“顔文字”だけの件名。
・「I Love You」「My love letter for you」等の英文の件名。
・「Kyary Pamyu Pamyu ;)」「Sheena Ringo ;)」等、日本の女性芸能人の名前を入れた件名(1月末ごろから)。

こうした特徴から、この攻撃は「Love Youランサムスパム」などとも呼ばれているようです。いずれの件名のメールでも、添付ファイルを開くことで、ランサムウェア、不正コインマイナー、スパムメール送信に使用されるスパムボットに複合感染する攻撃となっています。また、Windowsのレジストリ設定を変更し、Windows DefenderやWindows Firewall、Windows Update等の機能を無効にして感染環境を脆弱にします。

トレンドマイクロが調査した結果、このマルウェアスパムを送信するスパムボット「Phorpiex」(フォルピエックス)の存在が確認されました。また「Phorpiex」は一般的なスパムボットではなく、それ自体が遠隔からランサムウェア等のマルウェア感染を狙う、危険なものであることも判明しました。トレンドマイクロの監視によれば、「Phorpiex」本体に対し2月5日と2月6日に連続して機能更新が行われ、スパムボットの枠を超える凶悪な活動が追加されたとのことです。

「Phorpiex」は別名「Trik」とも呼ばれ、その存在と活動は10年ほど前から確認されています。メール経由で多様なマルウェアを配布するためのインフラとして、サイバー犯罪者に利用され続けており、さまざまな不正活動が確認されています。そして2019年に入り、日本で拡散しているマルウェアスパムに関して、ランサムウェア、不正コインマイナー、そして「Phorpiex」自身を拡散していることが、新たに確認されました。

「Phorpiex」を作成、使用しているサイバー犯罪者は、本体の変更や機能追加、バグの修正等に注力しており、攻撃は今後も継続すると予測されます。また、1月に行われた調査では、1回の攻撃でマルウェアスパムが送信されていた送信先アドレス2,322万件のうち、約96%が「.jp」ドメインだったことも明らかとなっており、日本の利用者を標的としていたことがうかがえます。

このような攻撃による被害を回避するには、受信メールの送信者や内容の正当性をよく確かめ、メールの添付ファイルや本文中のURLを、安易に開かないように注意してください。また、セキュリティ製品やメールのフィルタリング機能を利用し、不審なメールが手元に届かないようにする対策も有効です。




女性芸能人の名前を含むマルウェアスパムの例(1月28日時点で確認)

女性芸能人の名前を含むマルウェアスパムの例(1月28日時点で確認)


「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。
「PC・ネットワーク」「Web」「システム」関連のエーカビジネスコラム&ブログ。