Sent from my Samsung device迷惑メール? docmでウイルス感染攻撃!

イメージ 4

最近流行りのファイル形式 JavaScript ファイル、JScript ファイル(拡張子 .js .jse) ではなく、Microsoft Office ファイルが添付された英語表記の 迷惑メール(スパムメール) が手元にドバッと着弾です。

イメージ 3
docmファイル付きウイルスメール実例
件名 scan / scan.pdf / scan[数字] / SCAN[数字] / COPY[数字]
差出人 [人名] <~@gmail.com>

Sent from my Samsung device

本文はたったの1行で、この英語のメッセージを翻訳すると 「私のサムスンの端末から送信された」 ってな意味です。

中には、この端末名に iPhone とか iPad を挙げる迷惑メールも確認してます。

ファイルの正体はマクロウイルス

メールの添付ファイルは文書形式の Word ファイル でした。

ただ、ファイルの拡張子は一般的な 「.doc」 ではなく、VBA マクロの処理が含まれてることを明示的に示すファイルの拡張子 「.docm」 でした。

m → macro に由来する

イメージ 2
コピー? .docm

イメージ 1
スキャン? メール添付のWordファイル .docm

【メールの添付ファイル例】
scan.docm
scan[数字].docm
SCAN[数字].docm
COPY[数字].docm

ドコのダレとも知らない外国人から身に覚えのないメールを受け取るシチュエーションは、たいてい違和感を覚えるはず。

ただ、本文に 「Sent from my Samsung device」 としか記載されてないので、文章の中身が何なのかサッパリ分かりません。

攻撃者は、メールを受け取ったユーザーさんが気になって確認したくなる衝動を抑えきれないトラップを意図的に狙ってるワケです。

メール送信目的はマルウェア感染

この不正な文書ファイル .docm はダウンローダー型トロイの木馬です。

その役割は、Windows パソコンがターゲットの ランサムウェア(例、Lockyウイルス) や ネットバンキングウイルス を外部ネットワークからダウンロードしてきて起動して感染させるものでした。

マルウェアの感染攻撃が成立するには条件があり、ユーザーが次の作業2つを実施するとアウトになります。
  1. Windows ユーザーが Microsoft Word で .docm ファイルを開く

  2. Windows ユーザーが マクロの動作を許可するボタンを押す
【ウイルスメール攻撃の流れ】
迷惑メールを受信する
 ↓ docmファイルをポチポチッとダブルクリックして開く
マクロが含まれてる警告が通知バーで表示されて許可していいか確認する
 ↓ [コンテンツの有効化] ボタンをポチッと押す
外部ネットワークに接続し実行ファイルをダウンロードしてきて感染させる

いきなりウイルスが勝手に起動して問答無用で感染してしまうことはなく、Windows ユーザーさんが Windows 環境で ”引き金を引く” 作業をキッチリ行わないといけません。

たとえば、「メールを開いてメッセージを読んだ」「メールソフトのプレビュー機能によりメールの内容が表示された」 だけでは、別に何も起こらず大丈夫です。

Android! iPhone! スマホは大丈夫?

ちなみに、この .docmファイルは、動作環境として Windows 向けの Microsoft Office に搭載されてるマクロ機能でなくてはなりません。

ソレ以外の環境 Android OS、iOS(iPhone / iPad)、ガラケー らへんは、マクロ機能をサポートする Microsoft Office アプリがこの世に存在しないため、攻撃対象外であり大丈夫です。

セキュリティソフトの対応状況

ウイルスメールに添付されてる Word ファイル .docm をオンラインスキャンサイト VirusTotal にアップロードしてみると…?

ウイルスメール攻撃者は新鮮な亜種検体を逐一準備して、セキュリティ会社になるべく妨害されない体制で臨んでることが分かります。 <ウイルス定義データでの対応は後手に回ってる傾向が…

【セキュリティソフト検出状況】
www.virustotal.com/ja/file/8831ada657d4370ee6ccf473b52397a0ab705cf702e333f86172792e5734964b/analysis/1462533908/
www.virustotal.com/ja/file/d679915ea1edb0dc10bd3a38b48beadbdbd14f68794c5e6c8412f8015a384a59/analysis/1462532236/
www.virustotal.com/ja/file/e4a0117db7f211702675cd97be24364f40a4f711cae89420caee0d430c361ce9/analysis/1462531193/
www.virustotal.com/ja/file/ebb47fbdfbec3832a550d2591d29d4d16473cd53cc1ca602ca63464f11a5fba6/analysis/1462534448/
www.virustotal.com/ja/file/93065fabd46c21c25d796f1500a327d194b1614df4eee09f5ee7514cccb5a6e7/analysis/1462539902/

ただでさえ、セキュリティ製品をスリ抜けてしまいかねないファイル形式のところに、ユーザーさんが無意識に文書ファイルを ”うっかり” 開く行動をすれば、大変な状態になるのは目に見えてます。 

無料ウイルス対策で100%感染防止

人間は完璧でははなく、何だかんだヒューマンエラー(人為的ミス)を起こします。

それを見越して、docmファイルを開いても 感染攻撃をいっさい喰らわなくする無料ウイルス対策 でバシッと乗り切りましょう。

やるべき作業は、Microsoft Office のセキュリティ設定をチャッチャと変更するだけです。


ファイアウォールを使い、悪用される Windows の実行ファイルをあらかじめ通信ブロックしておくセキュリティ強化方法もオススメです。

関連するブログ記事