トレンドマイクロによれば、マルウェア「IcedID（アイスドアイディー）」を拡散させる日本語マルウェアスパムが10月末から確認されているといいます。最近はEMOTETが活発化しているとは聞いていましたが、果たしてIcedIDとはどのようなマルウェアなのでしょうか。今回は、このIcedIDについて紹介します。

マルウェア「IcedID」の確認と被害

トレンドマイクロが日本時間10月28日時点で確認したIcedIDを拡散させるマルウェアスパムは、件名が「Re:」と返信型になっており、パスワード付き圧縮ファイルが添付されているものでした。その後、11月に入っても、国内でパスワード付き圧縮ファイルを添付したマルウェアスパムの拡散を確認しています。
トレンドマイクロ製品における日本国内でのIcedIDの検出台数は、拡散開始の10月27日から11月6日までの10日間で70件強ですが、サポートセンターでは既に数件の感染報告を受けています。JPCERT/CC分析センターのTwitterでも11月6日付で注意喚起が出されており、広範囲に拡散が見られているものと言えます。
セキュリティ製品によってはパスワード付き圧縮ファイルの解凍に対応していないため、検出が回避されて受信者の元にメールが届く可能性があります。パスワード付き圧縮ファイルが添付されているメールは、差出人が自身の関係者であったとしても、安易に開かないようにしてください。
マルウェアスパムの特徴は昨年から被害が継続している「EMOTET」を想起させますが、異なるマルウェアであることに注意が必要です。

図1：10月28日に確認されたIcedIDを拡散するマルウェアスパムの例
件名には「Re:」という文字列があり以前のメールへの返信のように見えるが、以前のメールの内容は含まれていない

「IcedID」の感染方法

現在確認されているIcedIDのマルウェアスパムではパスワード付き圧縮ファイルが添付されています。

この圧縮ファイル内にはMicrosoft WordのDOC文書ファイルが含まれています。文書ファイルのファイル名は例えば「commerce_10.29.2020.doc」のように「＜文字列＞<MMDDYYYY もしくは MMYY の年月日を表す数字列>.doc」という形式になっていることが確認されています。
文書ファイル内には不正マクロが含まれており、解凍してファイルを開くとマクロ無効化の警告が表示されます。
この警告に対し、「コンテンツの有効化」ボタンをクリックしてしまうと不正マクロが実行され、外部の不正サイトへの接続などを経て、最終的にIcedIDに感染してしまいます。

図2：添付ファイルのDOC文書ファイル例

マルウェアスパム自体、そして添付の不正Wordファイルの内容が日本語で書かれており、今回の攻撃が日本の利用者を対象としていることは明らかです。実際海外では2020年8月の段階で、パスワード付き圧縮ファイルの添付ファイルを持つマルウェアスパム経由でのIcedIDの拡散が報告されており、その攻撃が日本にも本格的に流入してきたものと言えます。
これら一連のIcedIDを拡散させるマルウェアスパムキャンペーンは、一般に「TA551（別名：Shathak）」と呼ばれる、スパムメール送信を主とするサイバー犯罪者グループによって行われているものと見られています。
TA551は2020年4月から6月にかけては情報窃取型マルウェアである「Valak」（トレンドマイクロ製品では「Backdoor.JS.VALAK」などとして検出）を拡散していたことが報告されていますが、その後にIcedIDの拡散に変わったものと考えられます。

「IcedID」とは？

IcedIDは2017年に登場が報告されているマルウェアです。登場当初からネットバンキングの情報詐取を行うバンキングトロジャンとして認識されています。同時に現在ではEMOTET同様、情報窃取の対象を拡大するとともに、他のマルウェアのローダーとしても活動することがあります。
今回確認されたIcedIDのマルウェアスパムは、昨年から被害が続いているEMOTETのマルウェアスパムを想起させるものでしたが、実際にIcedIDは登場当初から、EMOTETのペイロードの1つとして知られていました。その傍らで、IcedID単体でもメール経由の拡散が何度も見られています。トレンドマイクロでも2018年にIcedIDを拡散させるマルウェアスパムキャンペーンを確認し、その調査を行っています。

図3：2018年に確認されたIcedIDのマルウェアスパム例
添付ファイルではなく、本文内のURLからダウンロードさせる手口

図4：2018年の攻撃におけるIcedIDの感染フロー例
この時点ではパスワード付きDocファイルを使用していた

被害に遭わないためには

今回の攻撃は、典型的なメール経由によるマルウェア感染事例と言えます。メール経由のマルウェア拡散としては、既に昨年から類似の手法で拡散するEMOTETの攻撃があるため、同様の警戒が必要です。

まず、侵入経路となるメールとその添付ファイルについて正当性を判断し、不審なものは開かないようにする心がけが必要です。特にパスワード付き圧縮ファイルはセキュリティ製品の検知を回避する手段ともなるため、注意が必要です。

ただし「返信型」のような巧妙な騙しの手口もあるため、メールだけでは不審に気づけない場合もあると思われます。もし、正規のメールと誤解して添付ファイルを解凍し、開いてしまった場合でも、Officeのマクロ機能が有効化されなければ不正活動は開始されません。マクロ無効化のセキュリティ警告表示があった場合にはいったん立ち止まり、けして「コンテンツの有効化」ボタンは押さないでください。いったんファイルを閉じてから、メールとファイルの正当性を再確認してください。

図5：セキュリティ警告の日本語表示例
「コンテンツの有効化」ボタンをクリックしなければマクロは実行されない

尚、恒久的対策としては、人の能力に依存しないよう、暗号化された添付書類を復号化した上でセキュリティスキャンを可能とするSWG製品/サービスを利用することが、望ましいでしょう。

現在のMicrosoft Officeの標準設定ではマクロ機能は無効になっていますが、上記のような確認メッセージが表示されるため、「コンテンツの有効化」ボタンを押してしまうケースも少なくないものと考えられます。現在、多くのメール経由の攻撃が不正マクロ入りのOffice文書ファイルを悪用しています。マクロ機能を使用する必要がない場合には「警告を表示せずにすべてのマクロを無効にする」の設定に変更することも検討してください。具体的な設定方法に関してはマイクロソフト社の情報を参照ください。

図6：Microsoft Officeの「セキュリティセンター」での「マクロ設定」画面の例

まずは社内啓蒙活動による”水際対策”を徹底し、これと並行してシステムでの対応を行ってみてはいかがでしょうか？

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/26656