is702
is702はトレンドマイクロが提供するインターネットを
安全に楽しむためのセキュリティ情報サイトです。
is702はトレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイトです。
ニュース

メールの添付ファイルに注意、「EMOTET」とは別のマルウェア「IcedID」をパスワード付き圧縮ファイルで拡散する攻撃が拡大中

2020/11/17

トレンドマイクロは11月9日、公式ブログで「『EMOTET』に続き『IcedID』の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意」と題する記事を公開しました。マルウェア「IcedID」(アイスドアイディー)を拡散させる日本語の不正なメール(マルウェアスパム)が10月末から確認されているとのことです。

「IcedID」は2017年に登場が報告されているマルウェアで、当時はネットバンキングの情報詐取を行う「トロイの木馬」として認識されていました。しかし現在では、昨年から被害が継続しているマルウェア「EMOTET」(エモテット)と同様に、情報窃取の対象を拡大するとともに、他のマルウェアに感染させるような活動もすることがあります。海外では2020年8月の段階で、パスワード付き圧縮ファイルが添付されたマルウェアスパム経由でのIcedIDの拡散が報告されており、その攻撃が日本にも本格的に流入してきたと考えられます。

トレンドマイクロが10月28日に確認した日本語スパムメールでは、件名が「Re:○○」という形で返信を装ったものになっており、パスワード付き圧縮ファイルが添付されていました。メール内には解凍するためのパスワードも記載されていました。


図:10月28日に確認されたIcedIDを拡散するマルウェアスパムの例

図:10月28日に確認されたIcedIDを拡散するマルウェアスパムの例


その後11月に入っても、パスワード付き圧縮ファイルが添付されたメールが拡散されており、トレンドマイクロ製品における日本国内でのIcedIDの検出台数は、10月27日~11月6日の10日間で70件強でした。サポートセンターにも、すでに数件の感染報告が寄せられています。

圧縮ファイル内には、不正なマクロが組み込まれたMicrosoft Wordの文書ファイル(DOC形式)が含まれていました。このファイルを開くと、マクロ無効化を促す警告が表示されますが、ここで「コンテンツの有効化」ボタンをクリックしマクロを有効にしてしまうと、外部の不正サイトへの接続などを経て、最終的にIcedIDに感染します。

セキュリティ製品によっては、パスワード付き圧縮ファイルの解凍に対応していないため、検出が回避されて受信者の元にメールが届く可能性があります。パスワード付き圧縮ファイルが添付されているメールは、差出人が自身の関係者であったとしても、安易に開かないようにしてください。少しでも違和感がある場合は電話など別の方法で確認してからファイルを開くと共に、マクロを有効化しないようにしましょう。現在、多くのメール経由の攻撃が不正マクロ入りのOffice文書ファイルを悪用しています。マクロ機能を使用する必要がない場合には「警告を表示せずにすべてのマクロを無効にする」の設定に変更することも検討してください。具体的な設定方法に関してはマイクロソフト社の情報を参照ください。
また、このような脅威によるリスクを下げるには、セキュリティ対策製品を最新の状態に保って利用することが重要です。

  • 働く大人なら最低限知っておきたいネットセキュリティの基本
  • トレンドマイクロ is702 パートナープログラム
  • トレントマイクロ セキュリティブログ
  • 新型コロナウイルスに便乗したネット詐欺などにご注意ください
働く大人なら最低限知っておきたいネットセキュリティの基本
トレンドマイクロ is702 パートナープログラム
トレントマイクロ セキュリティブログ
新型コロナウイルスに便乗したネット詐欺などにご注意ください