業務上のやりとりを装うバンキング型トロイの木馬

悪意あるマクロを含むファイルを重要書類に見せかけ、IcedIDとQbotをばらまこうというスパム活動が見られています。

何百通もの業務メールを受け取っていると、メールを流し読みして添付ファイルを機械的にダウンロードしてしまいたいという誘惑にかられるかもしれません。サイバー攻撃者は、そうした状況につけ込んで、いかにも重要書類のように見える(でも実際はフィッシングサイトへのリンクやマルウェアなどを含む)ファイルを付けたメールを送りつけます。当社のエキスパートは最近、バンキング型トロイの木馬「IcedID」および「Qbot」をばらまく、非常によく似た2つのスパム活動を発見しました(英語記事)。

悪意あるファイルを参照させるスパムメール

どちらの活動でも、業務上のやりとりに見せかけたメールが使われていました。一方の事例で使われていたのは、偽りの理由で補償を要求する、または操作の取り消しに関して何かを申し立てる内容のメールで、Excelファイルを圧縮したZIPファイルが添付されていました。もう一方のスパム活動では、支払いと契約に関する内容の、ドキュメントの置かれているWebサイト(ハッキングされているもの)へのリンクが記載されたメールが使用されていました。

いずれの場合も、攻撃者の目的は、悪意あるExcelファイルを開かせてマクロを実行させ、IcedIDまたはQbot(こちらのほうが件数が少ない)をダウンロードさせることでした。

IcedIDとQbot

IcedIDとQbotは、何年も前から存在を知られています。IcedIDが初めてリサーチャーの注意を引いたのは2017年、Qbotについては2008年のことでした(リンク先はいずれも英語)。それだけでなく、攻撃者たちは自分たちの手法をコンスタントに磨き上げています。例えば、ある時期にはIcedIDのメインコンポーネントをPNG画像内に隠すというステガノグラフィーの手法が使われており、非常に検知が困難でした。

現在、どちらのマルウェアも闇市場で手に入ります。作成者たちだけでなく、購入した大勢の人々が、これらのトロイの木馬をばらまいています。IcedIDもQbotも、主にクレジットカード情報と銀行口座へのログイン情報を盗むことを目的としており、できれば企業アカウントの情報を手に入れようとしています(仕事関係のメールを装っているのはそのため)。目的を達成するために、以下のようにさまざまな手段がとられています。

  • 入力された情報を傍受するために、Webページに悪意あるスクリプトを入れ込む。
  • オンラインバンキングを利用している人を、偽のログインページへ誘導する。
  • ブラウザーに保存されているデータを盗む。

Qbotは、入力されたパスワードのキー入力を記録することもできます。

残念ながら、こうしたマルウェアに感染すると、支払い情報が盗まれるだけでは終わりません。例えばIcedIDは、感染先のコンピューターへ、別のマルウェア(ランサムウェアなど)をダウンロード可能です。Qbotの方は、今後のスパム活動に利用するためにメールスレッドを盗み(英語記事)、Qbotを操る攻撃者が感染コンピューターへリモートアクセスできるようにします。感染したのが仕事用のコンピューターであった場合、深刻な結果となる可能性があります。

バンキング型トロイの木馬による被害に遭わないために

サイバー犯罪者がどれほど狡猾であっても、セキュリティの対策を一から始める必要はありません。こういったスパムメールによる活動は、受信者がリスクのある行動を起こすことを当てにしています。悪意あるファイルを開かなければ、悪意あるマクロを実行させなければ、仕掛けは機能しません。被害に遭う確率を減らすには、以下をお勧めします。

  • 送信者の身元を(ドメイン名も含めて)確認する。例えば、業者または法人顧客であると名乗りながらGmailを使って送ってくるようなメールは、怪しいと考えられます。送信者に心当たりがない場合は、社内の誰かに確認を取りましょう。
  • マクロの実行は既定で禁止し、マクロその他を有効化しなければならないようなドキュメントは疑いをもって取り扱う。マクロを実行しなければならないこと、実行しても安心なことが確実に分かっているのではないかぎり、マクロは実行しないでください。
  • 信頼できるセキュリティ製品をインストールする。個人用デバイスを仕事で使っている場合、または勤め先がワークステーションの保護に関して緩い場合は、自分の使うデバイスがしっかり保護された状態にしましょう。当社のセキュリティ製品は、IcedIDおよびQbotを検知してブロックします。
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?