マルウェア
「EMOTET」に続き「IcedID」の攻撃が本格化の兆し、パスワード付き圧縮ファイルに注意
マルウェア「IcedID(アイスドアイディー)」を拡散させる日本語マルウェアスパムが10月末から確認されています。トレンドマイクロが日本時間10月28日時点で確認したIcedIDを拡散させるマルウェアスパムは、件名が「Re:」と返信型になっており、パスワード付き圧縮ファイルが添付されているものでした。
マルウェア「IcedID(アイスドアイディー)」を拡散させる日本語マルウェアスパムが10月末から確認されています。トレンドマイクロが日本時間10月28日時点で確認したIcedIDを拡散させるマルウェアスパムは、件名が「Re:」と返信型になっており、パスワード付き圧縮ファイルが添付されているものでした。その後、11月に入っても、国内でパスワード付き圧縮ファイルを添付したマルウェアスパムの拡散を確認しています。トレンドマイクロ製品における日本国内でのIcedIDの検出台数は、拡散開始の10月27日から11月6日までの10日間で70件強ですが、サポートセンターでは既に数件の感染報告を受けています。JPCERT/CC分析センターのTwitterでも11月6日付で注意喚起が出されており、広範囲に拡散が見られているものと言えます。
セキュリティ製品によってはパスワード付き圧縮ファイルの解凍に対応していないため、検出が回避されて受信者の元にメールが届く可能性があります。パスワード付き圧縮ファイルが添付されているメールは、差出人が自身の関係者であったとしても、安易に開かないようにしてください。マルウェアスパムの特徴は昨年から被害が継続している「EMOTET」を想起させますが、異なるマルウェアであることに注意してください。
図:10月28日に確認されたIcedIDを拡散するマルウェアスパムの例
件名には「Re:」という文字列があり以前のメールへの返信のように
見えるが、以前のメールの内容は含まれていない
■「IcedID」の感染方法
現在確認されているIcedIDのマルウェアスパムではパスワード付き圧縮ファイルが添付されています。
この圧縮ファイル内にはMicrosoft WordのDOC文書ファイルが含まれています。文書ファイルのファイル名は例えば「commerce_10.29.2020.doc」のように「<文字列><MMDDYYYY もしくは MMYY の年月日を表す数字列>.doc」という形式になっていることが確認されています。文書ファイル内には不正マクロが含まれており、解凍してファイルを開くとマクロ無効化の警告が表示されます。この警告に対し、「コンテンツの有効化」ボタンをクリックしてしまうと不正マクロが実行され、外部の不正サイトへの接続などを経て、最終的にIcedIDに感染します。
図:添付ファイルのDOC文書ファイル例
マルウェアスパム自体、そして添付の不正Wordファイルの内容が日本語で書かれており、今回の攻撃が日本の利用者を対象としていることは明らかです。実際海外では2020年8月の段階で、パスワード付き圧縮ファイルの添付ファイルを持つマルウェアスパム経由でのIcedIDの拡散が報告されており、その攻撃が日本にも本格的に流入してきたものと言えます。これら一連のIcedIDを拡散させるマルウェアスパムキャンペーンは、一般に「TA551(別名:Shathak)」と呼ばれる、スパムメール送信を主とするサイバー犯罪者グループによって行われているものと見られています。TA551は2020年4月から6月にかけては情報窃取型マルウェアである「Valak」(トレンドマイクロ製品では「Backdoor.JS.VALAK」などとして検出)を拡散していたことが報告されていますが、その後にIcedIDの拡散に変わったものと考えられます。
■「IcedID」とは?
IcedIDは2017年に登場が報告されているマルウェアです。登場当初からネットバンキングの情報詐取を行うバンキングトロジャンとして認識されています。同時に現在ではEMOTET同様、情報窃取の対象を拡大するとともに、他のマルウェアのローダーとしても活動することがあります。今回確認されたIcedIDのマルウェアスパムは、昨年から被害が続いているEMOTETのマルウェアスパムを想起させるものでしたが、実際にIcedIDは登場当初から、EMOTETのペイロードの1つとして知られていました。その傍らで、IcedID単体でもメール経由の拡散が何度も見られています。トレンドマイクロでも2018年にIcedIDを拡散させるマルウェアスパムキャンペーンを確認し、その調査を行っています。
図:2018年に確認されたIcedIDのマルウェアスパム例
添付ファイルではなく、本文内のURLからダウンロードさせる手口
図:2018年の攻撃におけるIcedIDの感染フロー例
この時点ではパスワード付きDocファイルを使用していた
■被害に遭わないためには
今回の攻撃は、典型的なメール経由によるマルウェア感染事例と言えます。メール経由のマルウェア拡散としては、既に昨年から類似の手法で拡散するEMOTETの攻撃があるため、同様の警戒が必要です。
まず、侵入経路となるメールとその添付ファイルについて正当性を判断し、不審なものは開かないようにする心がけが必要です。特にパスワード付き圧縮ファイルはセキュリティ製品の検知を回避する手段ともなるため、注意が必要です。
ただし「返信型」のような巧妙な騙しの手口もあるため、メールだけでは不審に気づけない場合もあると思われます。もし、正規のメールと誤解して添付ファイルを解凍し、開いてしまった場合でも、Officeのマクロ機能が有効化されなければ不正活動は開始されません。マクロ無効化のセキュリティ警告表示があった場合にはいったん立ち止まり、けして「コンテンツの有効化」ボタンは押さないでください。いったんファイルを閉じてから、メールとファイルの正当性を再確認してください。
図:セキュリティ警告の日本語表示例
「コンテンツの有効化」ボタンをクリックしなければマクロは実行されない
現在のMicrosoft Officeの標準設定ではマクロ機能は無効になっていますが、上記のような確認メッセージが表示されるため、「コンテンツの有効化」ボタンを押してしまうケースも少なくないものと考えられます。現在、多くのメール経由の攻撃が不正マクロ入りのOffice文書ファイルを悪用しています。マクロ機能を使用する必要がない場合には「警告を表示せずにすべてのマクロを無効にする」の設定に変更することも検討してください。具体的な設定方法に関してはマイクロソフト社の情報を参照ください。
図:Microsoft Officeの「セキュリティセンター」での「マクロ設定」画面の例
■トレンドマイクロの対策
本記事内で取り上げたマルウェアですが、個人向けのエンドポイント製品「ウイルスバスター クラウド」、法人向けのエンドポイント製品「Trend Micro Apex One™」や中小企業向けのクラウド型エンドポイントセキュリティサービス「ウイルスバスター™ビジネスセキュリティサービス」では、「ファイルレピュテーション(FRS)」技術によるウイルス検出、機械学習型検出や挙動監視機能(不正変更監視機能)の組み合わせによる多層防御で既知の検体だけでなく、継続して登場する新たな亜種に対しても対応します。
今回の攻撃ではセキュリティ対策製品回避のため、パスワード付き圧縮ファイルが使用されていますが、メールセキュリティ製品である「Trend Micro Email Security™」および、「Deep Discovery Email Inspector」ではパスワード付き圧縮ファイルのパスワードを特定して内部のファイルを検索する機能があります。これにより、利用者の手元に届く前にフィルタリングすることが可能です。また、不審なメールの送信元やヘッダ情報、内容に基づくフィルタリング機能も有効です。
また、ほとんどのトレンドマイクロ製品に実装されている「Web レピュテーション(WRS)」技術により、関連する不正サイトへのアクセスのブロックに対応しています。
トレンドマイクロ製品の法人利用者の方へ:
検体解析をご依頼される際、パスワード付き圧縮ファイルをそのままアップロードされますと解析結果が出ないことがあります。以下のFAQの内容を参照の上、ご依頼ください。
・パスワードが設定されたZIP検体を解凍せずに解析依頼を行う方法
※調査協力: Trend Micro Research(小林恵子)
※本記事内の画像について、直接の危険や権利侵害に繋がりかねないと判断される部分には修正を施しています