トレンドマイクロは10月9日、10月8日にマルウェアスパムを確認したとセキュリティブログで明かした。

確認したメールは「実在の会社名を偽装する注文確認メール」「複合機からの通知を偽装するメール」の2種類。どちらも不正マクロを含んだWord文書ファイルが添付されており、オンライン銀行詐欺ツールを受信者のPCに感染させる機能を搭載している。

注文確認メールの偽装による攻撃は9月、複合機からの通知偽装による攻撃は今年6月にも確認されているが、今回のように2種の偽装メールがほぼ同時に同一のオンライン銀行詐欺ツールを拡散させる事例は初めてだという。

2種類のマルウェアスパムの例

実在の会社名を偽装する注文確認メールは、件名に「ご注文ありがとうございましたー添付ファイル『出荷のご案内』を必ずご確認ください」という文字列を含み、送信元情報として「R OrderConfirm JP」が設定されている。

複合機からの通知を偽装するメールの件名は「Message from」という文字列で始まり、複合機通知偽装のメールでは本文の最後に「西東京複合機より送信」という文を含んでいた。

添付されているWord文書ファイル内には不正マクロが含まれており、当初からマクロが有効になっているもしくは受信者がマクロを有効化してしまった場合に実行される。

同社の観測によれば、これらの偽装メールは日本時間の 10月8日午前6時ころから確認され始め、12時間経過の午後6時時点で合わせて1万3000通以上を確認している。

添付のWord文書を開いた場合の例

今回の2種の偽装メールは、国内のネットバンキングを狙う金銭目的の攻撃であると推測できるという。

不正マクロが実行されると不正サイトへアクセスし、ネットバンキングを狙う不正プログラム「SHIZ」をダウンロードする。このSHIZは、2015年に入って初めて確認され、7月ごろから国内で多く確認されるようになった。「SHIFU」の名称でも呼ばれている。