第31回 実在する会社を装ったメールに注意

  • Clip to Evernote
  • Check

 いつもお世話になっております。情報セキュリティ担当のJです。
今回は、「2015年上半期のセキュリティ動向」をテーマに書く予定でしたが、実在する会社を装ったマルウェア付きメールが大量に送信され、弊社のお客様でもマルウェアに感染する事件が発生しましたので、今回はテーマを変更して、「実在する会社を装ったメールに注意」をテーマに書いてみたいと思います。

既にセキュリティ関係機関や報道などでも注意喚起が行われておりますので、ご存じの方も多いかと思いますが、

(1)実在する会社を装う(電子部品会社や印刷会社、有名ホテルなど)
(2)実際のメールを盗んだと思われる「署名も付いたメール本文」を使う
(3)「注文書」「請求書」「FAXからの自動送信」といった内容で、添付されているWord形式のファイル(○○.doc)を開いて確認して欲しい、といった内容のメール

が大量に送信されているようです。添付されたWordファイルを開いてしまうと、「白紙」のWord文書が表示され、マクロが実行、銀行の情報を盗む大変厄介な最新型マルウェアがインストールされてしまいます。

 弊社のお客様でも、「開いてしまった」との報告が寄せられています。実際に添付ファイルを開いてしまった方に、開いた理由を聞いたところ、下記の4つが挙げられました。

(1)添付ファイルが「Word形式」なので、大丈夫だろうと思って開いた。
(2)実在する会社のようだったので「もしかしてウチと取り引きがあったかな...」と確認のために開いた。
(3)ちょっとおかしいな...とは思ったが、添付ファイルの「注文書」「請求書」が気になり開いた。
(4)メール本文に署名も付いており、本物のメールのようなので開いた。

 攻撃者も今回の手法が「成功」しているため、今後も継続して、ビジネス文書を装った(注文書、請求書、見積書、○○のお知らせ etc...)類似の攻撃が繰り返し発生する可能性が非常に高いと思われます。

 身に覚えのない、知らない会社から、添付ファイル付きのメールが送信されて来た場合は、「Wordファイル」「Excelファイル」などであった場合も、添付ファイルは開かずに、社内で担当部署に相談する、関係会社や部門に問い合わせを行う、などの対処をお薦め致します。

 また、不特定多数に送信しているため、メール本文に「××会社 ○○様」等の記載がなく突然本文で始まっているのも特徴ですので、「ちょっとおかしいな...」と思ったら「STOP.THINK.CONNECT.」を思い出して頂き被害に遭わないよう、ご注意いただければと思います。

情報セキュリティ管理者:J