このページの本文へ

あなたの口座もゼロに!? そのメールは「DreamBot」の罠かも

2017年11月10日 09時00分更新

文● せきゅラボ

  • この記事をはてなブックマークに追加
  • 本文印刷

 怪しいメールを開いたことがきっかけで、悪意のあるソフトウェアに攻撃されたという例は多い。「自分は大丈夫、だって、変なメールがきたら警戒するでしょ」と思っている人もいるはずだ。だが、それほど甘い話ではない。

 今でも被害が続いているマルウェアの一つに「DreamBot」が挙げられる。インターネットバンキングなどで使われているIDやパスワードを盗むタイプのマルウェア。2017年2月にその存在が明らかになってから、半年以上経った今でも被害が報告されている。

 感染経路は、偽装メールに添付されたファイルを開いてしまう、あるいはメールの本文中に含まれているURLをクリックしてしまうケースが主流だ。メールを開いただけでも感染したという報告も、少数ながらあるという。

 ここで、「どうして偽装メールを信用してしまうのか」考えてみよう。あからさまに怪しい件名・本文であれば、誰も信用しない。偽装メールの件名(サブジェクト)はさまざまだが、被害が多いのは「口座引落」「支払条件確認書」「写真」「注文書の添付」「商品発送のお知らせ」といったものだ。

 「緊急性」を匂わせつつ、しかし「曖昧」であることがポイントだ。本文も短く、「ご確認していただけないでしょうか」というメッセージを添えるなどして、添付ファイルの開封を促したり、リンク先のサイトの閲覧をうながしたりするものになっている。

 不特定多数に送るため、そして不信感を与えないために、緊急の連絡という体裁でありながら、添付ファイルの確認を指示するだけの短い件名や文章である……つまり、「すぐに確認しなければならないかも」と思わせつつ、受信者に怪しいと思わせる要素を排除している。そのために、うっかりすると被害に遭ってしまうわけだ。

 至急性が高そうな案件を匂わせるメールが届いた……となると、「今すぐ確認したほうがいいのかな」と思ってしまうかもしれない。しかし、それは間違いだ。こういったメールを受信した場合は、安易に開かず、まず送信元をしっかり確認するべきだろう。

 また、怪しいメールを見かけたら、ネットバンクなどのログイン履歴・利用履歴を頻繁にチェックし、身に覚えのないログインや取引がないかを日々確認する習慣を付けてもよいだろう。もちろん、セキュリティ対策製品をインストールしておくことは基本中の基本といえる。

 「自分だけは大丈夫」と思われると足元をすくわれかねないのがネットの世界。今回は「あなたの銀行口座もすっからかん! 被害拡大中『DreamBot』に要注意」を紹介しよう。

銀行口座がすっからかん!

 日本人ユーザーを標的にした、ネットバンキングを狙うマルウェア「DreamBot(ドリームボット)」が猛威を振るっている。お金を失うことは生活に直接影響するだけに十分な注意が必要だ。

 DreamBotは、インターネットバンキングなどで使われているIDやパスワードを盗むタイプのマルウェアだ。2016年6月に猛威を振るった「URSNIF(アースニフ、別名:GOZI)」を改造した亜種と考えられている。ネットバンク以外にも、仮想通貨の取引やWebウォレットの決済にも対応しているという。2017年2月にその存在が明らかになってから半年以上も被害が続いている。

 DreamBotに感染すると、URSNIF同様にバックドアが開いて悪意のある第三者からの遠隔操作を許し、ネットバンキングなどを利用した際に入力するIDやパスワードが不正に送信されてしまう。情報を盗んだ第三者は、それらを利用して口座から勝手に不正な送金を実行するというわけだ。本来、そういった不正な操作を防止するためにワンタイムパスワードが存在するが、それすら偽装画面を介して盗むことがあるというからタチが悪い。

 URSNIFの亜種であるDreamBotだが、その大きな違いは匿名ネットワークである「Tor」を利用するところ。Torを利用することで、どこから遠隔操作されているか、また盗んだ情報がどこに送信されているかがわからなくなる。

 もっとも、企業の社内ネットワークではそもそもTorプロトコルを遮断していることが多いため、万が一感染しても被害を防げる可能性が高い。逆にいえば、家庭などでネットを利用する一般ユーザーの場合は、感染すると被害を受ける確率が高くなる。つまり予防が肝心、ということになる。

鉄板の対策は「怪しいメールを開かない」

 感染を防ぐにはどうすればいいのだろう? DreamBotの感染経路は、偽装メールに添付されたファイルを開いてしまうケースと、メールの本文中に含まれているURLをクリックしてしまうケースが主流とされているが、メールを開いただけでも感染したという報告も少数ながらあるようなので注意が必要だ。

 つまり、怪しいメールは開かない、という基本中の基本が感染を防ぐ対策ということになる。偽装メールの件名(サブジェクト)はさまざまだが「口座引落」「支払条件確認書」「写真」「注文書の添付」といったものは、“いかにも”なので、とにかくこういったメールを受信した場合は開かないこと。仕事柄どうしても確認しておかないと……というなら、メールを開く前に送信元をしっかり確認するべきだろう。

 もちろん、セキュリティ対策製品をインストールののちに常駐させておき、パターンファイルを常に最新の状態にしておくことも欠かせない。マカフィーのリブセーフならリアルタイムでマルウェアの侵入を防いでくれるだけでなく、ウイルス定義ファイルがまだ存在しないような最新マルウェアでも、その“ふるまい”を検知ことによってシャットアウトしてくれる。

 またISPによっては、受信メールをあらかじめスキャンし、マルウェアが添付されている場合にはサーバー上でそのメールを削除し、ユーザーの手元に届かないようにしてくれるサービスも存在するから、利用するのも手だ。

 セキュリティ対策以外にも、ネットバンクなどのログイン履歴・利用履歴を頻繁にチェックし、身に覚えのないログインや取引がないかを日々確認するような用心深さが必要となるだろう。ネットバンキングサービスによっては、取引をリアルタイムでスマホに通知する機能があるから、それを積極的に利用するのも有効だ。

 いろいろと面倒なDreamBot対策ではあるが、すべては大切な自分の資産を守るため。油断してお金を失うよりは、若干の手間をかけたほうがマシというものだ。怪しいメールを開かず、口座の動きをチェックしながらここしばらくは対策を怠らないでいただきたい。

■関連サイト

カテゴリートップへ

マカフィーバナー せきゅラボ研究結果

30秒でわかるマカフィーリブセーフ!


マカフィーバナー スマホとPCをサイバー攻撃から守る術

マカフィーバナー セキュリティ被害はあなたの半径1m以内でも起きる

「ドコモ あんしんナンバー チェック」のサービス提供対象やご利用方法などの詳細はNTTドコモのウェブサイトをご覧ください。

スマートフォンから PCなどから