トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、この8月に入り、日本語のスパムメールにおいて、拡張子 “.iqy” のファイルの添付を初確認しました。この見慣れない拡張子のファイルの正体はなんでしょうか?新たに登場した添付ファイルの手口について、その実例を紹介します。
図:今回確認されている不審メールの例
この例の「お世話になります」の他にも「ご確認ください」、
「写真添付」、「写真送付の件」などの件名が確認されている
■ “.iqy” 拡張子の添付ファイルを日本語マルウェアスパムで初確認
上図は 8 月 6 日に確認された不審メールの実例です。この例では「お世話になります」という件名ですが、他にも「ご確認ください」、「写真添付」、「写真送付の件」などのバリエーションが確認されています。このような確認すべき書類の送付を偽装し、受信者にファイルを開かせようとする内容の本文は、マルウェア拡散を目的とするマルウェアスパムでは常套手段となっています。
このマルウェアスパムの最大の特徴は添付ファイルの拡張子が見慣れない “.iqy” となっていることです。この “.iqy” 拡張子の添付ファイルによる攻撃は海外では 5 月下旬以降に見られていましたが、日本向けの日本語マルウェアスパムとしては初確認と言えます。
図:拡張子が “.iqy” となっている添付ファイルのメール上での表示例
添付ファイル名としては、上図の「8月」+「数字列」に加え、「受信者名」+「数字列」という例も確認されています。いずれのファイル名であってもファイル内容は同一です。トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の統計では、日本国内で同一のファイルを添付したメールを 8 月 6 日の 1 日のみで 29 万件以上確認しています。このような不審メールは、ほんの数時間のうちに大量送信されたのちに止む事が多く、今回確認したメールの送信も 8 月 6 日の夜には終了しているようです、しかし、同種メールの大量送信が数日間のインターバルを挟んで繰り返す場合もあり、今回の事例に関してもまた同じ “.iqy” 拡張子を添付したマルウェアスパムが拡散する可能性が高いものと考えられます。
■ “.iqy” 拡張子とは?開くとどうなる?
そもそもこの “.iqy” という拡張子はどのようなファイルでしょうか? Windows では Web サイトからデータを取り込むためのファイルとして Microsoft EXCEL に関連付けられており、ファイルを開くと EXCEL が起動して処理が行われます。攻撃者はこの仕組みを利用し、不正スクリプトファイルをダウンロードさせて最終的にオンライン銀行詐欺ツール(バンキングトロジャン)である「URSNIF(アースニフ)」に感染させます。トレンドマイクロの動的解析によれば、マルウェアスパムに添付された不正な “.iqy” ファイルを開いた場合、EXCEL のセキュリティ機能により、下図のように実行を確認するメッセージが 2 回にわたって表示されることを確認しています。1 回目の表示は不正スクリプトのダウンロードと実行に対する確認、2 回目の表示は実行された不正スクリプトによる外部接続に対する確認です。素性が不明な “.iqy” ファイルを開いてしまい、これらの確認メッセージが表示された場合には「無効にする」もしくは「いいえ」を選択することにより、最終的なマルウェアの侵入を防ぐことができます。
図:添付の “.iqy” ファイルを開いた際の例1
警告のメッセージが表示され、「無効にする」を選択すれば最終的なマルウェアの侵入はない
図:添付の “.iqy” ファイルを開いた際の例 2
上図のメッセージで「有効にする」を選択したあとには
「CMD.EXE」の実行を確認するメッセージが表示される
ここで「いいえ」を選択すれば最終的なマルウェアの侵入はない
攻撃者は自身の攻撃の効果を最大化すべく、常に新たな攻撃手法を模索しています。今回確認された “.iqy” 拡張子のファイルもその 1 つであり、見慣れないファイル形式によりメール受信者の警戒を弱めて添付ファイルを開かせようという手口であると言えます。
■被害に遭わないためには
拡張子 “.iqy” のファイルを日常的に使用していない場合には、EXCEL の「セキュリティセンター」から「ファイル制限機能の設定」にて「Microsoft Office クエリファイル」を開かない設定にすることで、意図しない “.iqy” ファイルの機能実行を防止できます。「ファイル制限機能」の使用方法についてはマイクロソフト社のサポートページを参照ください。
図:EXCEL の「セキュリティセンター」の設定例
「Microsoft Office クエリファイル」のチェックボックスを
チェックすることで “.iqy” ファイルの機能を制限できる
また、法人組織のネットワークでは、そもそも拡張子 “.iqy” のファイルのメール受信を制限する対策も有効です。
このようなネット上の危険へ誘導しようとする手口に関しては、利用者としてその手口を知り騙されないようにすることも対策の 1 つとなります。また、そもそも不審なメールを可能な限りフィルタリングし、手元に届かないようにする対策の導入も重要です。
受信者の立場で不審なメールを見抜くためのポイントは以下のブログ記事でもまとめておりますのでご参照ください。
■トレンドマイクロの対策
トレンドマイクロ製品では本記事で取り上げたマルウェアスパムの添付ファイルやその後にダウンロードされるファイルなどのマルウェアを、「MALIQY」、「DLOADER」、「BEBLOH」、「URSNIF」などの検出名にて「ファイルレピュテーション(FRS)」技術で検出し実行をブロックします。「マルウェアスパム」のようなメール経由の攻撃は「E-mail レピュテーション(ERS)」技術で受信前にブロックします。不正プログラム拡散目的の不正サイトについては「Webレピュテーション(WRS)」技術でアクセスをブロックします。
個人向けセキュリティ対策製品「ウイルスバスタークラウド」ではFRS、ERS、WRS の各技術により利用者を総合的に保護します。
「InterScan Messaging Security Virtual Appliance」、「Trend Micro Hosted Email Security」、「Cloud Edge」などの法人向けゲートウェイ製品では、特に ERS 技術により危険な電子メールを着信前にブロックします。
「InterScan Web Security Virtual Appliance」、「Cloud Edge」などの法人向けゲートウェイ製品ではWRS技術により、法人のネットワーク内全体からの不正サイトへのアクセスを一括してブロックすることができます。
「ウイルスバスターコーポレートエディション」、「ウイルスバスタービジネスセキュリティサービス」などの法人向けエンドポイント製品ではFRS、WRS の各技術により利用者を総合的に保護します。
※調査協力:秋保 陽介(日本リージョナルトレンドラボ)
