トレンドマイクロはこのほど、複合機からメールが届いたように巧妙に偽装した、メールによる不正プログラム頒布を確認したとセキュリティブログで明かした。
攻撃は、不正なマクロが含まれるWord文書が添付されたメールが送られてくるというもの。メール経由で不正なファイルを送り付けるのは攻撃者の常套手段であるが、今回は発信元のメールアドレスが自社のネットワーク対応の複合機を装っていた。届いたメールの発信元は「scanner@受信者が所属する組織のドメイン」となっていた。
ドレンドマイクロ独自の統計データによると、Word文書に不正マクロを仕込んだ攻撃メールは2015年の4月以降に増加を確認している。特に多かったのが6月17日前後で、1日に2000件以上を確認したという。攻撃対象の多くは国外であったが、一部の国内にある法人でも確認されたという。偽装メールは平日に集中し土日が減少することから、土日休みの法人組織への攻撃が多いものと推測できるという。
今回の攻撃は、ネットワーク対応の複合機の挙動をすべてコピーしている。一般的にスキャナー機能を利用して原稿を取り込んだ場合、指定のメールアドレスなどにスキャン画像を送信できる。今回の攻撃はその機能を悪用したもの考えられている。
偽装であることは明確で、国内の法人へ届いた攻撃メールの送信者のIPアドレスが米国、ブラジル、エクアドル、ベトナム、インドなどとなっていた。また、件名が「Message from アルファベット4文字 C280」、添付ファイルが「S アルファベット4文字 C280 送信日に基づく数字列」で、ここからも複合機の通知を偽装していることがわかる。
攻撃メールの受信者は、同じ日本製複合機の利用者かどうかは確認できていないというが、ある程度攻撃対象を絞った攻撃である可能性も考えられると指摘している。
今回の攻撃は、以前からあったスキャナー通知型の攻撃とは異なり、不正マクロを含んだWord文書が添付ファイルに利用された。一般的にスキャナ機能では画像ファイルやPDFにして保存するため、攻撃に利用するのもPDFが多く確認されていた。
なお、トレンドマイクでは、Microsoft Officeのマクロを利用した不正プログラムを利用した攻撃が2015年より海外で増加していると指摘している。
現時点では、マクロ型の攻撃を比較的に簡単に防げる。Microsoft Officeは標準の設定でマクロの実行が無効となっている。無効になっている場合は、不正マクロが含まれるファイルを開いても、ユーザーが手動で実行しなければ直接的な被害を受けることはない。危険なのは、業務の都合などで常時マクロ機能を有効にしているケースだと指摘している。
利用者は、自らマクロを有効にすることは、不正プログラム実行の危険性があることに注意が必要だと呼び掛けている。