Video Screencast Help
Help us spread the word about SEP and get a $25 Amazon gift card! 
Security Response

特定の地域を狙う悪質なスパム活動、日本も標的に

Trojan.Cidox と Trojan.Bebloh は、ブラジル、インドなど特定の国を狙ってスパマーが利用する脅威ですが、その標的に日本も加わりました。
Created: 22 Feb 2016 04:44:10 GMT • Updated: 26 Feb 2016 00:14:03 GMT • Translations available: English
Joji Hamada's picture
0 0 Votes
Login to vote

japanese-spam-header.jpg

日本が、地域を狙ってマルウェアを拡散するスパムメールの最新の標的になりました。シマンテックは最近の数カ月間に、ブラジルなど世界各国を標的とする複数のメール攻撃を確認しており、インドでは 2 種類の RAT 活動も確認されています。こうした攻撃活動は、標的となった国の企業や組織を騙るメールを利用するのが一般的です。

日本がこのように特定地域を狙うスパム活動の対象になることは、これまではまれでしたが、最近は日本のユーザーがローカライズされたメールの標的になることも増えています。各種の攻撃に使われるマルウェアは、日本の銀行を特に標的とする Trojan.Cidox(別名 Rovnix)の亜種から、Trojan.Bebloh のように世界中で広く確認されているトロイの木馬やランサムウェアまで、さまざまです。

日本におけるスパムメール
日本のユーザーを標的にしたスパムメールでは、郵便配送、融資、人事問題、オンラインショッピングなどが題材に使われていることが確認されています。次に示すメールは、日本で人気のあるオンラインショッピングサイトを騙っており、不在通知に偽装しています。

1-600.png
図 1. 人気の高い日本のオンラインショッピングサイトを騙っているが、サイト名にスペルミスがあるスパムメール

このメールは、日本の大手オンラインショッピングサイトから送信されたように偽装していますが、送信元のメールアドレスでサイト名のスペルが間違っています。スペルミスに気付ければ、このようなメールを受け取っても、添付ファイルを開いてコンピュータにマルウェアをダウンロードすることは避けられます。

添付されているのはアーカイブファイルで、内容は Adobe Acrobat ファイル(.PDF)のように見えます。実際には RacutenCoJP_GF84566641T_FDP.SCR というスクリーンセーバーの実行可能ファイルですが、Adobe Acrobat ファイルであると信じさせるために、RLO 偽装(右から左に読ませる)によってファイル拡張子を偽装しています。実行されると、Trojan.Cidox.E をダウンロードします。シマンテックの遠隔測定によると、Trojan.Cidox.E がさかんに活動しているのは日本だけなので、この攻撃者は日本のユーザーを標的にすることしか眼中にないと言って間違いないでしょう。

国は異なってもペイロードは同じ
一方、このスパム活動は日本語ユーザーを狙ってはいるものの、ペイロードの設計は国別になっていないことをシマンテックは確認しています。たとえば、日本語で書かれたスパムメールは日本語ドメインを使うメールアドレスを標的にしているようです。ところが、添付されているファイルは、ドイツのメールアドレス宛てに送信されるドイツ語のスパムの添付ファイルと変わりません。

2-600.png
図 2. 日本のメールアドレス宛てに送信される日本語のメールは、添付ファイルのファイル名も日本語

3-600.png
図 3. ドイツのメールアドレス宛てに送信されるドイツ語のメールは、添付ファイルのファイル名が英語

日本語のメールでは、添付ファイルの名前も日本語ですが、ドイツ語のメールには、英語のファイル名でファイルが添付されています。どちらも、アーカイブファイルには JavaScript ファイルが含まれており、そのファイル名はそれぞれ日本語とドイツ語です。次の図は、2 つのファイルをテキストエディタで開いたところですが、中身の JavaScript はまったく同じように見えます。

4-600.png
図 4. 日本語のファイルとドイツ語のファイルの中身は同じ JavaScript

それぞれのファイルには以下のハッシュがあり、ファイル名以外は同一であることがわかります。

  • e841ed26a38bc662339cd6305d11a85d

この JavaScript ファイルが、トロイの木馬(シマンテックでは Trojan.Bebloh として検出されます)をダウンロードします。Bebloh は、侵入先のコンピュータを監視して情報を盗み出すために利用されます。実際の脅威が主に確認されているのは、米国やドイツなどの欧米各国で、日本語のメールは出現しているものの、日本が具体的に狙われているわけではないようです。

160222_Fig5_JA_0.png
図 5. Trojan.Bebloh の影響を受けているのは、主として米国とドイツ

まとめ
1 種類のスパムメールを世界中に発信するのは簡単ですが、このスパムを使う攻撃者は、成功率を高めるためにさらに一歩を踏み出しました。特定の国に的を絞ったソーシャルエンジニアリングの手口を用いることで、このスパムに誘導されてメールを開封し、マルウェアを実行してしまうユーザーは増えるかもしれません。

保護対策
Symantec Email Security.cloud では、迷惑メールを遮断して、このようなスパム攻撃からユーザーを確実に保護します。

シマンテック製品をお使いのお客様は、以下のシグネチャでこの攻撃から保護されています。

ウイルス対策

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】