新たなマルウェアはあなたの“心理”に働きかける 巧妙化する手口を学ぼう

3

2021年04月13日 07:22  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真筆者に届いた脅迫メールの一部。問題は“差出人”
筆者に届いた脅迫メールの一部。問題は“差出人”

 最近のメールサービスは、マルウェアが添付された悪意あるメールのほとんどが自動的に迷惑メールフォルダに入れられて目にすることがなくなりました。「Gmail」の「迷惑メールフォルダ」をたまにのぞいてみることで、今の攻撃トレンドが垣間見えるかもしれません。





 先日チェックした際には、件名に「口座からのお支払い」と書かれたメールが驚くほど届いていました。内容は「あなたのデバイスをハッキングして映像を録画した。録画映像をアダルトサイトにアップロードされたくなければ、16万円相当のビットコインを指定の口座に送れ」というものです。



 当然これは詐欺ですので対応する必要はありません。しかしこれが迷惑メールフォルダに分類されず受信箱にいきなり入っていたら、自分のメールアドレスが記載されたこの文章に驚き、どうしたらいいか分からなくなる人もいるでしょう。まずは安心して冷静になりましょう。



 最大の問題はこのメールの差出人です。恐らくサーバを乗っ取られて、スパムメールの踏み台になってしまっているものと思われますが、国内の学校やプロバイダーが含まれて、多くの被害を受けていることが分かります。



 これらの攻撃には警視庁生活安全課も注意喚起を発しています。攻撃を受けた側が能動的に金銭を振り込むなどのアクションによって被害が発生するため「それならだまされない」と思うかもしれませんが、手口は非常に巧妙です。情報を収集してしっかりと備えましょう。



●巧妙化する攻撃 中にはカスタマーサポートを設置する事例も



 米コンピュータヘルプサイトBleepingComputerは、その他少々気になる手口を解説しています。中でも「BazarCall」と呼ばれるマルウェアの攻撃手法が非常に巧妙で、知らなければセキュリティ巧者でもだまされる可能性があるため紹介します。



 この攻撃手法も同様にメールから始まります。「あなたがいつの間にかサブスクリプションに“お試し”で加入したことになっており、無料期間が終了したため課金がスタートする」という内容のメールが届きます。しかしメールにはURLが記載されておらず、カスタマサービスに電話をするよう指示があります。利用者が思い当たる節がないためカスタマサービスに電話をさせることが狙いです。



 カスタマーサポートには窓口になりすました担当者がいます。メールに記載された購読番号を電話で伝えると、解約用のURLを伝えられます。URL先のWebサイトでメールに記載された購読番号を入力することで、解約情報を記載するxlsxファイルがダウンロードされます。このシートにはマクロやコンテンツの有効化を実行する警告が出ているのですが、指示には「上部にワーニングが出るがクリックしろ」と記載されています。これをクリックすることで攻撃が成立してしまうのです。



●あなたがしてしまったことは? BazarCallの攻撃の特徴を解説



 この攻撃の巧妙な点は2つあります。1つは、攻撃を受けた側が自分が所属する組織を自己紹介している点です。メールに記載された購読番号は、メールごとに変えられているため、電話の中で購読番号を告げてしまうと「届いたメールが有効であり、どのドメインが生きているか」を自己紹介していることになります。これを基に攻撃者は標的リストを作成できます。



 もう一つは、攻撃を受けた側がxlsxファイルに記載された手順をうのみにして実行することで、「出どころ不明なファイルのマクロは無効化する」という非常に強力なセキュリティ機構を自らオフにし、攻撃を成立させてしまう点です。これによってマクロを遠隔操作する新たなマルウェアをダウンロードしたり、脆弱(ぜいじゃく)性を突く新たな攻撃を成立させたりするリスクがあります。



 この手法はBazarCall以外でも利用されており「暗号化を解くためにマクロを有効しろ」などの文言であなたをだましてきます。基本的に「マクロの設定を変更しろ」という指示に対しては、最大限の注意を払ってください。絶対にマクロを実行してはいけません。



 購読番号によって被害者の所属する組織を把握でき、その後別のマルウェア攻撃を呼び込むという意味でもこのマルウェアは非常に巧妙です。マクロを経由して遠隔操作するマルウェアが実行されてしまった場合、この情報が別の攻撃者に売られる可能性もあるでしょう。実際の攻撃対象はメールを受信した個人ではなく、その個人が属する組織である可能性が高いとBleepingComputerも述べています。



 マクロの有効化設定は、Microsoftから出ている下記のドキュメントを参考にしてください。



Office ドキュメントのマクロを有効または無効にする



 BazarCallと同様の手法は、スマートフォンにも存在します。Androidでの「不明なアプリをインストール」する設定を変更することは大きなリスクです。最新のOSでは、APKファイルをインストールするには何段階かステップを踏むようになり、知識がなければインストールできないようになりました。しかし安全のためには、自分が理解していない設定を変更する指示に従わないことが重要です。「設定変更はセキュリティのため」だと言われても、それが「見知らぬ差出人」からであれば簡単に信頼しないようにしましょう。



●ジョークが現実になる時代に



 2013年に本コラムで「ルーマニアのウイルス」というジョークを取り上げました。8年前には「もはやこれは笑えなくなった」と紹介しましたが、今ではこれを真剣に考える時代になったのかもしれません。



件名:ウイルス警告



重要度:低



このメールを受信した人へ



あなたはルーマニアのウイルスを受け取りました。



ルーマニアでは技術が発達していないので、これは手動のウイルスです。



あなたのHDDを手動で全て削除し、このメールをあなたの知り合い全てに送ってください。



(Webを見ただけでアプリが落ちてきた!? 笑えないスマホ時代の「ルーマニアのウイルス」より)



 今回のBazarCallは、サポートセンターを介在させており、サイバーセキュリティ対策というよりも純粋な「詐欺対策」として捉える必要があるでしょう。巧妙な詐欺に対抗するには手口を周知させることが重要です。この手口を頭の片隅に置いていれば、同様のケースが来た時に対処できる可能性が高まります。少しでもおかしいと思ったら一度手を止めて、周囲に相談してみてください。


このニュースに関するつぶやき

  • これはもう働かない?w https://www.ted.com/talks/james_veitch_this_is_what_happens_when_you_reply_to_spam_email
    • イイネ!1
    • コメント 0件
  • これはもう働かない?w https://www.ted.com/talks/james_veitch_this_is_what_happens_when_you_reply_to_spam_email
    • イイネ!1
    • コメント 0件

つぶやき一覧へ(2件)

ランキングIT・インターネット

前日のランキングへ

ニュース設定