マルウェアのダウンロードリンクが付いたメール

認証情報の窃盗に話が及んだとき、真っ先に頭に浮かぶのは、フィッシングサイトへのリンクの付いたメールです。しかし、フィッシングサイトへの誘導を図るメールは、ユーザー名とパスワードを盗むための手段の一つにすぎません。スパイウェアへのリンクを含むメールは、今でもサイバー犯罪者によって使われています。そういったリンクの存在を隠すために、添付ファイルのように見せかけた画像を使うという手口があります。

悪意あるリンクを含むメール

今回取り上げるのは、標的型のメールです。サービスプロバイダーと機器ベンダーに対して見積依頼書（RFQ）を依頼する内容で、要件を記載したガイドラインを添付したという体裁になっています。

製造業の企業では、このような依頼をしょっちゅう受けています。メールを受け取った営業担当者は往々にして、ガイドラインのドキュメントを開いて提案書の準備を始めてしまい、ドメイン名や送信者の署名の違いといったわずかな不一致に注意を払いません。さて、ここで興味深いのは、サイバー犯罪者がどうやってメールの受取手にマルウェアを実行させるかです。メールは以下のような見た目です。

マルウェアのダウンロードリンクが付いたメール

PDFファイルが添付されているのが見えるでしょうか？実は、これは添付ファイルではありません。Outlookでの添付ファイル表示に似てはいますが、実際にファイルが添付されている場合とは違う点が複数あります。

• 添付ファイルのアイコンは、受け取った人の環境でPDFファイルに関連付けられているアプリケーションのアイコンと一致しているはずです。一致していないのならば、これは添付ファイルではない、添付ファイルだったとしてもPDFファイルではない、ということになります。
• 本当の添付ファイルなら、アイコン上にマウスカーソルを重ねると、ファイルの詳細（ファイル名、種類、サイズ）が表示されるはずです。このメールの場合は、怪しげなWebサイトのリンクが表示されます。
• ファイル名の横にある下向き矢印は、マウスオーバーするとハイライト表示され、クリックするとコンテキストメニューが表示されるはずです。
• 添付ファイルはメール本文の中ではなく、下の例のように別のブロックに表示されるはずです。

本物のPDFファイルが添付されている場合

PDF形式の添付ファイルに見せかけられたこの表示は、実際には単なる画像です。メールの一部をマウスで選択しようとしたり、［Ctrl］+［A］キーですべてを選択したりすると、これが画像であることが分かります。

添付されたPDFファイルのように見せかけた画像

この画像は、悪意あるプログラムへのハイパーリンクを覆い隠しています。リンクをクリックすると、スパイウェアがダウンロードされます。

攻撃ペイロード

このメールの場合、悪意あるリンクは「Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab」という名前のアーカイブを指していました。このアーカイブの中には、スパイウェア（当社では「Trojan-Spy.Win32.Noon」として検知）を読み込むローダーが入っています。これは、2017年から存在を知られている、かなり一般的なスパイウェアです。このスパイウェアを利用すると、入力フォームからパスワードその他の情報を盗むことが可能です。

安全のために

スパイウェアが入り込んで会社に害を為すことがないように、インターネット接続するデバイスには、マルウェアの実行を防ぐセキュリティ製品をインストールすることをお勧めします。

これに加え、サイバー犯罪者が送ってくるメールのトリックを見破れるように、社員のセキュリティ知識を向上させることも検討するとよいでしょう。