小規模なオンラインショップを狙う危ないメール

社員をだまして悪意あるファイルを開けさせようとする、小規模なオンラインストアを狙った攻撃が発生しています。

サイバー犯罪者は、非常に小規模な企業をたびたび狙います。規模の小さい企業の場合、セキュリティのシステムに多額の費用をかけることがほとんどなく、専任のIT担当者がいないことも珍しくありません。しかも、業務に使っているコンピューターが1、2台しかない可能性が高いため、重要情報を探しているサイバー犯罪者からすると標的が絞りやすいのです。例として、当社製品が先日検知した、複数の小さなオンラインストアを狙った攻撃を取り上げましょう。攻撃者はソーシャルエンジニアリングの手法を用いて、オンラインショップの関係者たちに、彼らの使っているコンピューター上で悪意あるスクリプトを実行させようとしたのでした。

ソーシャルエンジニアリング

この攻撃で一番興味深いのは、オンラインストアの従業員が悪意あるファイルをダウンロードして開くように仕向ける手口の部分です。攻撃者は、そのストアで買い物をした人のふりをして、すでに支払いが済んでいるのに商品を受け取れないという内容のメールを送信します。郵便局で問題が発生したので、商品購入の詳細(発送元の情報、追跡番号など)を書類に入力して欲しい、という内容です。まともな社会人なら、このようなメールを無視するはずがありません。

そのメールは、完璧ではないけれども問題なく理解できる英語で書かれていて、Googleドキュメントに置かれたファイルへのリンクが含まれています。このリンクをクリックするとアーカイブのダウンロードが始まりますが、お察しの通り、このアーカイブには悪意あるファイルが含まれています。この事例では、.xlsxの拡張子が付いたファイルでした。

技術的観点から

この攻撃は、単純ですが効果があります。第1に、明らかに大量送信されたものではありません。メールの文章はオンラインストアに宛てて書かれた内容になっていますし、ほとんどの場合、適切なメーリングリスト宛に送られていました。第2に、悪意あるものは一切含まれていません。短い文章と、正規のサービスへのリンクが1つ記載されているだけです。大量にばらまかれるスパムメールでもなければフィッシングメールでもなく、悪意ある添付ファイルもない。このようなメールが自動メールフィルターではじかれる可能性は低いと考えられます。

さて、ダウンロードされたXLSXファイルには、リモートサービスから実行可能ファイルをダウンロードして実行するスクリプトが含まれています。ダウンロードされるのはバンキング型トロイの木馬「DanaBot」で、当社では2018年5月からその存在を確認しています(リンク先は英語)。このマルウェアはモジュラー構造になっていて、追加のプラグインをダウンロードすることでトラフィック、パスワード、さらには暗号ウォレットを盗むことが可能です。この記事を書いている時点では、バンキング型マルウェアファミリーのトップ10にランクインしています(2019年第3四半期の統計による。リンク先は英語)。

この攻撃が意図する標的は、非常に小規模なオンラインショップです。そのため、メールを通じて感染したコンピューターが決済関連で使われるコンピューターである可能性は非常に高いわけで、つまり、攻撃者が欲しい情報がそこにあるのです。

被害に遭わないために

まずは、すべてのコンピューターに、信頼できるセキュリティ製品をインストールしましょう。当社のセキュリティ製品は、DanaBot(検知名:Trojan-Banker.Win32.Danabot)を検知するだけでなく、DanaBotをダウンロードするスクリプトも「HEUR:Trojan.Script.Generic」として検知します。したがって、このトロイの木馬がダウンロードされる前であっても、こうした攻撃を阻止することができます。

また、広く利用されているプログラムの更新はタイムリーに行いましょう。特に、OSや業務用パッケージソフトの更新は最優先で実施してください。そういったソフトウェアやOSの脆弱性が、マルウェアの感染によく使われます。

小規模企業向けには、カスペルスキー スモール オフィス セキュリティの利用をお勧めします。この製品を使ったセキュリティ管理に特別なスキルは必要ありません。トロイの木馬から保護するだけでなく、一般的に使われているアプリケーションが最新バージョンかどうかのチェックもできます。

ヒント