トレンドマイクロは8月8日、「拡張子".iqy"のファイルとは? 1 日でメール 29 万通が日本国内に拡散|トレンドマイクロ セキュリティブログ」において、見慣れない拡張子である「.iqy」を添付ファイルとして含むスパムメールの大量送信が確認されたと伝えた。8月6日の1日だけで日本国内で同メールが29万件以上確認されたと説明がある。
こうしたスパムメールは数時間の間に大量送信されたのちに止むことが多く、今回観測されたスパムメールも8月6日の夜には大量送信が終了していたとしている。ただし、数日間のインターバルを挟んで繰り返すこともあるとして、注意を呼びかけている。
不審なメールの件名は、「お世話になります」「ご確認ください」「写真添付」「写真送付の件」などが確認されているという。添付ファイル名としては、「8月」+「数字列」、「受信者名」+「数字列」が確認されているが、いずれのファイル名であってもファイル内容は同一とのこと。
Windowsでは.iqyという拡張子のファイルはMicrosoft Excelに関連付けられており、この添付ファイルを開くとMicrosoft Excelが起動する。攻撃者はこの仕組みを悪用し、不正スクリプトファイルをダウンロードさせて最終的にオンライン銀行詐欺ツール(バンキングトロジャン)である「URSNIF(アースニフ)」に感染させる。見慣れない拡張子を利用することでユーザーがファイルを開くように促す狙いがあるものと推測されている。
素性が不明な “.iqy” ファイルを開いて、以下の画面のような確認メッセージが表示された場合は「無効にする」もしくは「いいえ」を選択することにより、最終的なマルウェアの侵入を防ぐことができるという。
短い内容のメールに不正に細工された添付ファイルを含める手法はスパムメールキュンペーンでよく使われている。一見すると内容の可否が判定しにくい内容になっており、ユーザーに対して添付ファイルの中身を確認するように誘導している。身に覚えのないユーザーからメールが送信されていた場合は、添付ファイルを開く前によく確認を行うことが望まれる。