文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    なぜ? ウイルスメールがよく届く曜日とは

     1月17日頃から、日本語のウイルス付きメールが複数出回っている。「添付写真について」「積算書」などのタイトルで送られてくるものだ。セキュリティー会社の分析によれば、ウイルスのオンライン銀行詐欺ツールが添付されており、なぜか毎週火曜日の朝に送られてくることが多くなっている。(ITジャーナリスト・三上洋)

    「ダイレクトメール発注」「御請求書」などの件名でウイルス送信

    • 1月19日に確認されたウイルス付きメール(日本サイバー犯罪対策センターによる)
      1月19日に確認されたウイルス付きメール(日本サイバー犯罪対策センターによる)

     警視庁犯罪抑止対策本部(Twitterアカウント)や日本サイバー犯罪対策センター(JC3)などが、1月17日から19日にかけて、日本語のウイルス付きメールが出回っているとして警告を出した(インターネットバンキングマルウェアに感染させるウイルス付メールに注意:日本サイバー犯罪対策センター)

     それによると日本語のウイルス付きメール(スパム、もしくはSPAM)が出回っており、特に1月17日から19日にかけて複数のパターンのウイルス付きメールが確認されている。文例は上記のリンクにまとめられているが、メールの件名をまとめておく。

    ★1月17日から19日にかけて確認されているウイルス付きメールの件名(原文ママ)

     ・「積算書」

     ・「ダイレクトメール発注」「のご注文ありがとうございます」

     ・「注文書・注文請書」

     ・「写真」「写真のみ 不足し」「写真 ご送付いただきまして ありがとうございます」「様写真」「様写真お送りします」「Re:写真ありがとうこざいます」

     ・「添付写真について」

     ・「Fwd: New Order AAAA-17-000 Shipping by "DHL"」

     ・「取引情報が更新されました」「【発注書受信】」「備品発注依頼書の送付」「依頼書を」「送付しますので」「発注依頼書」「(株) 発注書」

     ・「御請求書」

     共通するのは、注文書や請求書など仕事関連のメール、もしくは写真送付や宅配便などのメールをまねているところだ。宅配便の通知メールでは、ヤマト運輸やDHLなどの名前を(かた)っている。受け取った人が、うっかり添付ファイルを開いてしまうような文面だ。

     ただし手抜きと思われる部分もある。携帯電話番号や圧縮ファイルの連番のほとんどが「00000」になっていたり、件名が「様写真」「様写真お送りします」になっていたりする。これは元の文面を作った人物がテンプレート(見本)として作ったもので、本来は番号や名前をランダムに入れるつもりだったのだろう。それがテンプレートのままで送られてきているのは、手抜きをしたか、日本語がわからない人が送っている可能性もありそうだ。

    毎週火曜朝に送信か? 添付ファイルはオンライン銀行詐欺ツール

    • オンライン銀行詐欺ツールに感染させるメールは、毎週火曜日の朝に送られてくる傾向がある(トレンドマイクロによる)
      オンライン銀行詐欺ツールに感染させるメールは、毎週火曜日の朝に送られてくる傾向がある(トレンドマイクロによる)

     このウイルス付きメールについて、セキュリティー大手・トレンドマイクロが自社ブログで分析記事を出した(2017年もマルウェアスパムの攻撃は継続中、新たな「火曜日朝」の拡散を確認:トレンドマイクロセキュリティブログ)。

     それによると添付されているのは、「URSNIF(アースニフ)」と呼ばれるオンライン銀行詐欺ツール(ネットバンキング不正送金ウイルス)だったとのこと。日本サイバー犯罪対策センター(JC3)では「Gozi(ゴジ)」と呼んでいるが、同じウイルスだ。

     トレンドマイクロの分析では、これらのウイルス付きメールの圧縮ファイルには、拡張子が「.JS」のスクリプトファイル(プログラムなどを実行するファイルのこと)が含まれている。これを実行すると、オンライン銀行詐欺ツールである「URSNIF」をダウンロードして感染させるとのことだ。

     トレンドマイクロの統計によれば、この「URSNIF」が、17日12時時点までで2000件以上が検出されているとのこと。トレンドマイクロでは「相当の範囲に拡散していたことは間違いありません」としている。

     面白いのは、このウイルス付きメールに送信の周期があることだ。グラフはトレンドマイクロが調べたオンライン銀行詐欺ツール検体の検出数推移で、1週間ごとに検出のピークがある。トレンドマイクロによると「2016年9月以降、毎週火曜日の朝に定期的な送信が行われていた。11月下旬頃から不定期になり12月にはやんでいたが、2017年1月17日の大量送信は、やはり火曜日朝だった。定期的な攻撃を、2017年に入り再開した可能性がある」とのことだ。

     毎週火曜日の朝に送られてくる理由は不明だが、トレンドマイクロでは「仕事として週イチのルーティーンで送っているのかもしれない。もしくは日本時間の火曜の朝が現地での月曜日にあたる地域から送られている可能性もある」としている。また別の可能性として「ウイルス付きメールを送る犯罪者と、メールを配信する業者が別である可能性も考えられる。『毎週一回送信する』などの契約として外注しているのかもしれない」と分析している。

    マイクロソフトを騙る偽メールにも注意

    • 「プロダクトキーが不正にコピー」という件名のスパムで誘導されるマイクロソフトの偽サイト(フィッシング対策協議会による)
      「プロダクトキーが不正にコピー」という件名のスパムで誘導されるマイクロソフトの偽サイト(フィッシング対策協議会による)

     2017年に入り、今回のウイルス付きメールの他にも日本語スパムが多く出回っている。1月上旬にはマイクロソフトを装って「プロダクトキーが不正コピーされています」という偽メールが出回った。添付ファイルではなく、偽サイトへ誘導するURLアドレスへのリンクが張られたものだ。

     本文は「セキュリティ警告!!」として、「検証作業をしていただけない場合、日本マイクロソフトはお使いのオフィスソフトのプロダクトキーの授権状態を終了させていただきますので、ご了承ください。」などとして、偽サイトへ誘導する(マイクロソフトをかたるフィッシング (2017/01/12):フィッシング対策協議会)

     これらのスパム・迷惑メール対策をまとめておこう。

    ★メールの安全対策

    ・添付ファイルは安易に開かない

     メールの添付ファイルは原則として開かない(ダブルクリック・タップをしない)。仕事でどうしても必要な場合は、送信元を確かめて、実際の業務に必要なものがしっかり確認してから開くこと。

    ・リンクをクリック・タップしない

     メールのURLリンクは、安易にクリック・タップしないこと。どうしても必要な場合は、送信元や内容を確かめる。

    ・メールのフィルタリング・ウイルスチェックをするサービスを使う

     パソコンの場合は、メールのウイルスチェックができるセキュリティー対策ソフトを必ず利用する。スマートフォンでは迷惑メールの分類ができるサービス(Gmailなど)をできるだけ使う。

     先週の記事でも紹介したように、多くのウイルス・ネット詐欺は、メール経由で行われている。パソコン・スマートフォンを安全に使うためには、メール対策がもっとも重要なので、上記の対策を必ず実行してほしい。

    ●参考記事


    2016年は「サイバー脅迫」の1年だった:サイバー護身術
    「Apple IDがロックされます」の偽メールにご注意!:サイバー護身術
    ヤマト宅急便の偽メールは銀行ウイルス…1000件超報告:サイバー護身術

    2017年01月20日 15時09分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP

    山へ行こう♪

    初心者も、ベテランも 準備はしっかりと