複合機からのメール通知を偽装した攻撃、国内でも確認 - トレンドマイクロ

トレンドマイクロはこのほど、複合機からメールが届いたように巧妙に偽装した、メールによる不正プログラム頒布を確認したとセキュリティブログで明かした。

攻撃は、不正なマクロが含まれるWord文書が添付されたメールが送られてくるというもの。メール経由で不正なファイルを送り付けるのは攻撃者の常套手段であるが、今回は発信元のメールアドレスが自社のネットワーク対応の複合機を装っていた。届いたメールの発信元は「scanner@受信者が所属する組織のドメイン」となっていた。

ドレンドマイクロ独自の統計データによると、Word文書に不正マクロを仕込んだ攻撃メールは2015年の4月以降に増加を確認している。特に多かったのが6月17日前後で、1日に2000件以上を確認したという。攻撃対象の多くは国外であったが、一部の国内にある法人でも確認されたという。偽装メールは平日に集中し土日が減少することから、土日休みの法人組織への攻撃が多いものと推測できるという。

今回の攻撃は、ネットワーク対応の複合機の挙動をすべてコピーしている。一般的にスキャナー機能を利用して原稿を取り込んだ場合、指定のメールアドレスなどにスキャン画像を送信できる。