マルウェアの活動範囲が日本に拡大、ファイア・アイが警告：攻撃の規模も拡大中

　米ファイア・アイは2016年1月26日（米国時間）、日本のオンラインバンキングユーザーを狙ったマルウェアに関する情報をブログで公開した。それによると、従来、欧州が主な活動範囲であったマルウェアが日本に向けて活動を拡大しているという報告があったが（IBM X-Forceの報告）、これとは別に、日本国内で迷惑メールを使った活動も観測しているという。観測されたのは、URLZone（別名：Shiotob/Bebloh）と呼ばれるマルウェア。

　URLZoneはオンラインバンキングユーザーを狙った「トロイの木馬」で、標的とする金融機関の情報を含む構成ファイルをダウンロードし、Webインジェクションを使って認証情報を窃取する。今回使われたURLZoneには、既知の特徴に加え、新しい特徴が備わっていていたという。

　具体的には、正規のプロセスをマルウェアに置き換える方法で自身を隠蔽する手法を使う。まず「explorer.exe」または「iexplorer.exe」に偽装するプロセスを起動し、その子プロセスとして悪意あるルーチンを実行。wab32.dllとWindows Address Book（WAB）ファイル名を探索して、格納されている電子メールアドレスを摂取しようとしたりするという。

　ブログでは、ファイア・アイが2015年12月に観測したマルウェアの活動状況が公開されている。それによると、ファイア・アイでは2015年12月16日と12月21日に日本国内のユーザーを対象とした大量のスパムメールの送信を観測したという。

ファイア・アイが観測したマルウェアの活動状況

URLZoneのスパムメールのサンプル　メールの送信元ドメインには「softbank.jp」や「yahoo.co.jp」が多く使われている。添付ファイルはzip形式のアーカイブファイルを装っているが、実際にはexeファイルを展開する二重拡張子が使われている（出典：ファイア・アイ）

　同社では、2016年1月19〜20日にも日本を標的としたURLZoneスパム攻撃を観察しており、2015年12月に観察した攻撃に比べてその規模が大きくなっているという。今後、日本での活動をさらに拡大する恐れがあるとしており、送信者不明の電子メールについては、十分注意して閲覧するよう警告している。