トレンドマイクロ、拡張子「.iqy」のファイルが1日29万通のスパムメールに添付されて日本国内に拡散と発表
- 2018/08/09 10:30
- SecurityInsight
トレンドマイクロは8月8日、同社のセキュリティブログにおいて、この8月に入って日本語のスパムメールで、拡張子「.iqy」のファイルの添付を初確認したことを発表した。ブログではこの添付ファイルの手口について解説している。
この拡張子の添付ファイルによる攻撃は海外では5月下旬以降に見られていたが、日本向けの日本語マルウェアスパムとしては初確認といえる。添付ファイル名としては、「8月」+「数字列」に加え、「受信者名」+「数字列」という例も確認されている。いずれのファイル名であってもファイル内容は同一。
トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の統計では、日本国内で同一のファイルを添付したメールを8月6日の1日のみで29万件以上確認している。このような不審メールは、ほんの数時間のうちに大量送信されたのちに止むことが多く、今回確認したメールの送信も8月6日の夜には終了しているもよう。
しかし、同種メールの大量送信が数日間のインターバルを挟んで繰り返す場合もあり、今回の事例に関してもまた同じ「.iqy」拡張子を添付したマルウェアスパムが拡散する可能性が高いものと考えられる。
「.iqy」拡張子は、WindowsではWebサイトからデータを取り込むためのファイルとしてエクセルに関連付けられており、ファイルを開くとエクセルが起動して処理が行なわれる。攻撃者はこの仕組みを利用し、不正スクリプトファイルをダウンロードさせて最終的にオンライン銀行詐欺ツールである「URSNIF」に感染させる。
トレンドマイクロの動的解析によれば、マルウェアスパムに添付された不正な「.iqy」ファイルを開いた場合、エクセルのセキュリティ機能により、実行を確認するメッセージが2回にわたって表示されることを確認している。
1回目の表示は不正スクリプトのダウンロードと実行に対する確認、2回目の表示は実行された不正スクリプトによる外部接続に対する確認となっている。素性が不明な「.iqy」ファイルを開いてしまい、これらの確認メッセージが表示された場合には、「無効にする」または「いいえ」を選択することにより、最終的なマルウェアの侵入を防ぐことができる。
「.iqy」のファイルを日常的に使用していない場合には、エクセルの「セキュリティセンター」から「ファイル制限機能の設定」で「Microsoft Office クエリファイル」を開かない設定にすることで、意図しない「.iqy」ファイルの機能実行を防止できる。また、法人組織のネットワークでは、拡張子.iqy」のファイルのメール受信を制限する対策も有効となる。