トレンドマイクロは11月7日、健康保険組合などからの医療費通知メールを偽装し、利用者に不正プログラムを感染させようとする攻撃について、複数の組織から注意喚起が行われていると発表した。

同社の解析によると、この偽装メールは最終的に遠隔操作を行うためのバックドア型不正プログラムを感染させようとするもの。

医療費通知偽装メールの例

これらの攻撃メールはいずれも健康保険組合を名乗り、医療費のお知らせと称して圧縮ファイルが添付されているもので、圧縮ファイル内には Wordファイルのアイコンに偽装した不正プログラムが含まれる。受信者がアイコン偽装に騙され不正プログラムを開くと、無害なWord 文書を画面上に表示して受信者の注意をそらし、その裏で、遠隔操作ツール(バックドア型不正プログラム)が実行され活動を開始する。

Wordアイコンに偽装された不正プログラムファイル例

不正プログラム実行時に表示されるWord 文書例

攻撃メールの内容は複数あり、標的のPCで不正プログラムが確実に実行されるために、添付ファイルをWindowsOS上で開くことを明示的に指示しているものや、最初にパスワード付圧縮ファイルをまず送付し後から別途パスワードを通知するものなど、より巧妙な手口も確認されている。

荒川区では、荒川区のWebサイトにて、医療費通知を装った不審なメールに注意するよう注意喚起を行なっている。

荒川区のWebサイト内の注意喚起

トレンドマイクロで、確認された複数の検体では、すべてに共通して最終的に侵入するバックドア型不正プログラムは「BKDR_EMDIVI」として検出する不正プログラムファミリの亜種であること、また、受信者を欺くために画面に表示されるWord文書ファイルもすべて同一の内容であることが確認できた。

同様の検体については、トレンドマイクロに着信した過去の問い合わせから 9月中旬から既に存在しているものと判明。このことから、年末調整などが始まり、保険費や医療費などの清算に関心が高まる時期をターゲットに、1ヶ月半以上にわたって攻撃対象の拡大と手口の巧妙化を継続している攻撃と推測される。

特に、この攻撃で確認されている「BKDR_EMDIVI」では、遠隔操作を行うためのC&Cサーバが日本国内の改ざんサイト上に設置されていたりするなど、通信の発覚や追跡を妨げる手法が使われてる巧妙なもの。同様の攻撃がより対象を拡大する可能性もあるため、メール内の添付ファイルに関してはアイコンの表示だけにとらわれず、拡張子の確認も合わせて実行可能ファイルが偽装されていないか注意が必要だ。