企業宛てスパムメールに情報窃取型トロイの木馬

このところ、スパイウェアAgent Teslaを利用した悪意のある電子メールが、企業の従業員宛に大量送信されているのが確認されています。攻撃者は、細部に特別な注意を払い、電子メールの内容を、添付文書を含む通常の業務メールに見せかけています。その添付文書に悪意のあるファイルが含まれており、受信者がそれを開くと端末が感染する仕組みになっています。Agent Teslaを利用したスパムメールの大量送信という手口が、どの程度深刻なのか解説します。

どれだけ危険なのか

サイバー犯罪者は、メールに実際の企業のロゴや、本物のように見える署名が付いたメールを作成するなどして、実在する企業を装っています。さらに、彼らの英語はあまり流暢ではないことから、非英語圏（例えばブルガリアやマレーシア）に住む人物として振る舞い、標的に疑われないように工夫しています。

また攻撃者は、狙った会社ごとに文面を変えながら、悪意のあるアーカイブを送信しています。例えば、標的の企業が取り扱っていそうな商品をリスト化したとして、それをメールに添付し、価格を教えてほしいと要求してきたり、そのリストにまとめた商品の在庫があるか問い合わせてきます。受信者が興味を持ちそうなこの他の内容のメールも送信していると考えられますが、彼らの狙いは、受信した人たちを騙し、添付ファイルを開かせることです。サイバー犯罪者は、時間をかけて標的を調査するなど、準備に労力を費やしていると考えられます。これは、これまで観測されたメールの大量送信キャンペーンとは異なる点です。これまでは、標的を絞った攻撃でしか確認されてきました。

添付にAgent Teslaが含まれる悪意のあるメールの例

受信者がぱっと見て見つけられるこういった類のメールの危険信号は、送信者のアドレスだけです。アドレスのドメインが実在する企業名と一致することはめったにありません。また、送信者の名前は署名欄に書かれた名前と異なっています。上記のメールは、「newsletter@」から始まるアドレスから送信されています。メールの内容が、マーケティング目的ならそういったアドレスが使われる可能性も考えられますが、商品の見積もりを問い合わせるメールの場合、「newsletter@」から始まるアドレスは、通常使われることはありません。

トロイの木馬Agent Teslaとは

Agent Teslaは、当社がTrojan-PSW.MSIL.Agenslaとして識別しているもので、2014年ころから観測されている比較的古いマルウェアです。情報窃取が目的のトロイの木馬で、ブラウザ、メールクライアント、FTP/SCPクライアント、データベース、遠隔管理ツール、VPNアプリケーション、インスタントメッセンジャーなど、様々なプログラムに保管された秘密情報を集めます。さらにAgent Teslaは、クリップボードにあるデータを盗んだり、キーストロークを記録したり、スクリーンショットをとることもできるマルウェアです。

一般的に、攻撃者は、Agent Teslaが収集したすべての情報をメールで受け取ります。ただ、最近では、Telegram Messengerでデータを転送したり、ウェブサイトやFTPサーバーに情報をアップロードしたり、バージョンアップされているものも確認されています。

このマルウェアやスパムメールの大量送信に関する詳細、ならびに攻撃の痕跡に関しては、こちらの Securelistのブログ記事 （英語記事）をご覧ください。

被害に遭わないために

早期段階、いわゆる悪意のあるメールが企業のメールサーバーに届いた時点で、そのようなサイバー攻撃が行われていると認識して、脅威を食い止めるのが理想です。しかし、Agent Teslaはこれまで新たな機能が加わるなどアップデートされており、常に検知できるとは限りません。まずは、メールサーバーを適切なセキュリティソリューションで保護することから始めてください。

また、オンライン学習プラットフォームを利用し、従業員がサイバーセキュリティに対する高い意識を持つことも重要です。

いかなる状況でも、攻撃者が送り付けるマルウェアが実行されないよう、業務用の端末にセキュリティソリューション を搭載させることも推奨します。