プレスリリース
〜メールの件名が日本語かつ返信型という厄介な特徴を持ち、今後日本語も巧妙化する恐れ〜
情報セキュリティメーカーのデジタルアーツ株式会社(本社:東京都千代田区、代表取締役社長:道具 登志夫、以下 デジタルアーツ、証券コード2326)は、日本語返信型の不審なメールで届くマルウェアについてのセキュリティレポートを公開したことを発表いたします。
2021年11月2日、デジタルアーツでは複数の不審なメールを観測しました。メールには、日本語のメールに返信したかのような件名と、マクロが含まれるExcelファイルの入ったzipファイルの添付という共通する2つの特徴がありました。これらはEmotetなど今までに流行した他のマルウェアにあった特徴です。
マクロを含む不審なExcelファイル
今回観測されたメールにはzipファイル(.zip)が添付されており、その中にはExcelファイル(.xls)が入っていたとみられます。それぞれのファイル名の特徴は以下の通りです。
[画像1]https://user.pr-automation.jp/simg/1854/54242/500_49_2021121414582461b83280d1b3a.png
このExcelファイルを開くと、図1のようなシートが現れます。
[画像2]https://user.pr-automation.jp/simg/1854/54242/500_641_2021121414532461b831546b561.png
シート上には実在の企業やサービスのロゴ・名称が並んでおり、ファイル暗号化のためにこの画面が表示されているかのような説明が書かれています。そして、上部に表示されたボタンをクリックするよう指示しています。しかし、実際にはこのボタンを押すとマクロが有効化され、ペイロードと呼ばれる悪意のあるコードが自動で実行されます。
今回確認されたマクロの挙動では、非表示だったシートを有効化し、そこに書かれた情報をもとに拡張子が .dat であるファイルのダウンロードが開始します。この .dat ファイルが実行されると、Qakbotというマルウェアに感染するものとみられます。
Qakbotは別名QbotやQuakbotとも呼ばれ、2000年代から存在するマルウェアです。もともとはバンキング型トロイの木馬として、オンラインバンキングなどのログイン情報の窃取を目的としておりましたが、近年流行している検体では様々な機能が追加されているとされています。
今回のキャンペーン(一連の活動)の厄介な特徴
今回観測したキャンペーン(一連の活動)には、いくつかの厄介な特徴が挙げられます。
■メールの件名が日本語かつ返信型
今回の日本語返信型の不審なメールは、約1日で29件観測しました。観測されたメールの件名の一例を下記にまとめています。なお実在の企業・組織名については伏せておりますが、製造業や保険業などさまざまな企業に対してメールが送られていました。
[画像3]https://user.pr-automation.jp/simg/1854/54242/500_301_2021121414582661b8328246237.png
いずれも実際に企業や組織の間で送信されているような件名であり、一見すると正常なメールかのように見受けられます。特に、すべての件名が「Re:」で始まっており、あたかも取引先などからの返信かのように見えます。さらには、「見積」「図面」など、添付ファイルが含まれそうなキーワードが多く、「在宅ワーク」「パーテーション」といったコロナ禍特有のキーワードが含まれているケースもあります。攻撃者は、ユーザにメールを開封させ添付ファイルからExcelを取り出させるために、このように身近にありそうなメールに偽装させているとみられます。自然な日本語を用いたメールであっても油断せず、添付ファイルを開かない・マクロを有効にしないといった注意が必要です。
■マクロの有効化を促すExcelの文面
Excelのシートには実在の企業やサービスのロゴ・名称が並んでおり、日本語化はされてないものの自然に見える構成です。さらに、マクロを有効化した場合も利用しているOSに合わせたロゴが並んでいる画面を表示させるなど、外観にこだわっているように見受けられます。また、上部に表示されたマクロの有効化ボタンが、あたかも元のファイルを閲覧するために押す必要があるかのような文面も用意されています。Excelのマクロについて全く知らない人が読むと、素直にマクロを有効化してしまうケースも多くあるでしょう。ファイルの見た目が整っているかにとらわれず、マクロの有効化をしないよう注意が必要です。また、管理者にてマクロの実行を許可しないなどの設定も有効です。
今後も日本語返信型の不審メールに注意
今回紹介したメール以降にも、弊社ではQakbotへの感染につながるとみられるファイルが添付されたメールをわずかながら確認しております。今後も継続的にメールがばらまかれる、あるいはその量が増加する可能性も考えられます。また、Qakbotの機能には感染端末のファイルやメール情報の窃取があるとされており、またメールサーバの侵害によって感染拡大を図っているという情報もあります。日本の企業・組織にてこのような被害が発生すると、さらにメールの文面やExcelファイルの日本語表現がより精巧になることも予想されます。日本語で書かれたメールや、マクロを含むExcelファイルの添付など、手法自体は以前から他のマルウェアでも利用されてきたものですが、今後も引き続き警戒が必要です。
デジタルアーツでは、マルウェア感染の疑いのあるメールをセキュアな状態で受信
今回受信した日本語返信型の不審なメールについて、添付されたzipファイルに含まれるExcelファイルが旧形式(Microsoft Excel 97-2003 ワークシート)であり、かつマクロ付きであることを確認しています。このようなファイルについては、「m-FILTER」Ver.5の旧型式マクロブロック機能でブロックが可能です。添付ファイルによるマルウェア感染で利用されやすいOfficeファイル等の「マクロ」、「スクリプト」を除去し、セキュアな状態でメール受信することができます。
https://www.daj.jp/bs/mf/
日本語返信型の不審なメールで届くマルウェアについてのレポートはこちら
以下、弊社コーポレートサイト上にて公開しております。
セキュリティレポート https://www.daj.jp/security_reports/211216_1/
本件に関するお問合わせ先
デジタルアーツ株式会社 広報担当 山田 TEL : 090-1555-7254 / E-mail : press@daj.co.jp
※新型コロナウイルス感染症拡大に伴う在宅勤務実施中のため、お電話でのお問い合わせは上記とさせていただきます
関連リンク
セキュリティレポート
https://www.daj.jp/security_reports/211216_1/
デジタルアーツのメールセキュリティ
https://www.daj.jp/bs/mf/