複合機からの通知を装う攻撃型メール

複合機からの通知を装う攻撃型メールの例

攻撃型メールの新たな手口として、複合機からの通知を装うメールが世界的に確認されました。
複合機からのスキャンデータ送信を偽装したメールに不正プログラムが添付され、内容を確認するとウイルス感染してしまうという手口です。

セキュリティ対策ソフト大手の「トレンドマイクロ」によると2015年6月17日には、世界的に2,000件もの報告があった旨を公表しており、対策の為に特徴を下記のように挙げています。

複合機を装うメールの特徴

  • 受信者がスキャナ機能からの通知であると誤解するように送信者情報(From アドレス)が「scanner@<受信者の組織のドメイン>」と偽装されている。
  • 偽装メールの検知は平日に集中し土日は減少することから、一般的な週休二日制勤務体系をとる法人組織への攻撃が多いものと推測される。
  • 件名は「Message from <アルファベット4文字>_C280」、添付ファイルは「S<アルファベット4文字>_C280<送信日に基づく数字列>」となっており、これらは日本製複合機からの通知を偽装したものと考えられる。
  • 一般的にスキャナ機能では画像ファイルやPDFの形式でスキャン結果を保存される事が多いが、今回の攻撃で用いられた添付ファイル形式はWord文書であった。
  • 不正なマクロを仕込んだWord文書を、受信者がMicrosoft Officeのマクロ機能を有効にした状態で開くと、マクロが実行され、ネットバンキングの情報を盗む機能などを持ったウイルスに感染してしまう。

実際に法人へ届いた攻撃メールの送信者のIPアドレスを調査したところ、米国、ブラジル、エクアドル、ベトナム、インドなど多岐にわたっており、送信者情報(Fromアドレス)は完全に偽装である事がわかっています。
また、今回の攻撃メールの件名は攻撃メールの受信者すべてが同じ日本製複合機の利用者かどうかは確認できていませんが、ある程度攻撃対象を絞った攻撃である可能性も考えられます。

スキャンデータ送信を偽装したメール例

不審なメールを安易に開かないように社内で徹底する事や便利だからといって様々なプログラムが自動で起動するようなPC設定はなるべく控え、都度確認ができる体制を整えましょう

他のネット上の脅威についてはこちら>>

マイナンバー制度の対応やネットワークセキュリティ対策はこちら