HOME情報セキュリティ【注意喚起】特定の組織からの注文連絡等を装ったばらまき型メールに注意

本文を印刷する

情報セキュリティ

【注意喚起】特定の組織からの注文連絡等を装ったばらまき型メールに注意

最終更新日:2015年10月30日
独立行政法人情報処理推進機構

~ 身に覚えのないメールの添付ファイルに注意 ~

IPAは10月8日以降、“特定の組織からの注文連絡”や“複合機からの自動送信”等を装ったWord文書ファイルが添付された不審なメールに関する相談が相次いだことから、当該メールに関して注意喚起を行います。

概要

IPAでは、昨日(10月8日)1日だけで“特定の組織からの注文連絡”や“複合機からの自動送信”等を装ったWord文書ファイルが添付された不審なメールに関する相談等が11件ありました。

それらを確認したところ、添付のWord文書ファイルはマクロ(※1)を実行してウイルスをダウンロードする機能を有しており、このWord文書ファイルを開いた場合にはウイルス感染の可能性があることがわかりました。また、相談によれば、組織内の複数の社員が当該メールを受信しており、「ばらまき型メール」(※2)の一種と考えられることから、当該メールに関して注意喚起いたします。

なお、添付のWord文書ファイルを開くとセキュリティソフトの警告が表示された事例もありましたが、ウイルススキャンを実行してもウイルスが検知されなかったとの報告がほとんどでした。

これは昨日時点ではセキュリティソフトに当該ウイルスに対応したパターンファイルが提供されていなかった等が理由として考えられます。

 
(※1)
ソフトウェア内で使用される複数のコマンドをまとめて実行する機能
(※2)
広く多くの組織に送付されているメール

当該ばらまき型メールの概要

IPAで確認した情報は下記の通りです。

2015/10/08に確認したメール
メール件名
①『【●●●●(実在の組織名)より】ご注文ありがとうございました-添付ファイル「出荷のご案内」を必ずご確認ください』
②『Message from "RNP0026738E40D2"』
添付ファイル名称
①『1312061102_13233939SE.doc』
②『20151007112034511.doc』
マクロ実行によってダウンロードされるファイル名称
『fDe12.exe』
2015/10/14 追記
マクロ実行によってダウンロードされるファイルは『65g3f4.exe』ですが、ダウンロード完了後に『fDe12.exe』のファイル名で保存されます。
2015/10/27に確認したメール(2015/10/28 追記
メール件名
①『タンケンー請求書(小)の件です。』
②『請求書』
③『ファックス受信完了: Fax Received』
添付ファイル名称
①『10280.doc』
②『2610-099189.doc』
③『2F4A8C1B-9DB6-4749-AA9C-9ED67A419132-574-IF.doc』
マクロ実行によってダウンロードされるファイル名称
『drawhor4.exe』
マクロ実行によってダウンロードされるファイルは『d243ty.exe』ですが、ダウンロード完了後に『drawhor4.exe』のファイル名で保存されます。
2015/10/30に確認したメール(2015/10/30 追記
メール件名
①『●●(実在の組織名)様宛請求書をお送りします』
②『タンケンー請求書(小)の件です。』
添付ファイル名称
①『2015-10-29-002903.doc』
②『102911.doc』
マクロ実行によってダウンロードされるファイル名称
『ostmeht1.exe』
マクロ実行によってダウンロードされるファイルは『45djio.exe』ですが、ダウンロード完了後に『ostmeht1.exe』のファイル名で保存されます。

対策

  • 上記の情報を参考に、当該メールを受信していないか確認してください。
  • 当該メールを受信していた場合、添付ファイルは開かずにシステム管理部門に確認、報告などを行ってください。
  • 万が一、Word文書ファイルを開いてしまった場合は、セキュリティソフトのパターンファイルを最新版にした上で、ウイルススキャンを実行してください。
  • ウイルスが検出されなかった場合でも、感染している可能性がありますので、セキュリティベンダに問い合わせてください。
  • 今回の手口はマクロ実行によってウイルスをダウンロードし、感染させるものであるため、ファイルを開いた際にマクロを自動的に有効にするような設定は行わないことと、安全性が不明なファイルではマクロを有効化しないことを推奨します。
  • 今後も同様のメールが送られてくる可能性がありますので、不審なメールは安易に開封しないよう注意してください。

参考情報

本件に関するお問い合わせ先

技術本部 セキュリティセンター 小川/野澤

Tel: 03-5978-7509 Fax: 03-5978-7518 E-mail:

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 白石/一家

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail:

更新履歴

2015年 10月30日 当該ばらまき型メールの概要:追記
参考情報:追加
本件に関するお問い合わせ先:修正
2015年 10月28日 当該ばらまき型メールの概要:追記
2015年 10月14日 当該ばらまき型メールの概要:追記
2015年 10月9日 掲載