注意深い人なら、わざわざ怪しいメールの添付ファイルを開封することはない。だが、あたかも社内のネットワークに接続されている複合機から届いたかのようなメールと添付ファイルは、むしろ念のために開いてしまうかもしれない。こうした攻撃が最も意表を突いたものと言えるだろう。

複合機の中に、スキャンしたデータをメールで転送する機能を持っている機種がある。この機能によって社員にあたかも複合機からの通知メールが送られてきたかのように偽装してマルウェアに感染させる悪質な手口が、2015年6月に世界的に多発した。

メール本文を見ただけでは感染しないが、添付されているWord文書ファイルを開封すると、不正なマクロ(VBA/TrojanDownloader.Agent)が実行される仕掛けになっている。

もちろんこの時点で、Wordのマクロ機能を有効にしていなければ感染しないのだが、もしも有効にしていた場合、他のマルウェアを呼び込むことができるダウンローダーが動作し、さまざまな不正行為を可能にする「Dridex」がダウンロードされるという仕掛けになっている。

「Dridex」にはさまざまな機能があるのだが、今回は、不正コードをブラウザに埋め込むことによって、オンラインバンキングに入力したIDとパスワードが盗み取られてしまうといった被害が各国で起こっている。ほかにも、SNSをはじめとしたユーザーのログイン情報を盗みユーザーになりすまして偽の情報を流したり宣伝を行ったりする、いわゆる「乗っ取り」も可能である。

Dridex感染のステップ

「Dridex」が登場するまでの経緯

「Dridex」（Win32/Dridex）が最初にESETによって検知されたのは、2014年10月である。このときは複合機とは関係なく、金融機関からのメールを侵入経路としていた。

その後しばらくの間は、それほど目立った活動が行われていなかったが、2015年3月に入ってから一度急に攻撃が激しくなり、要警戒となった。

再びやや活動が緩慢になったかと思われたが、2015年6月には複合機を装った攻撃が各国で報告された。その後も7月末にピークに達するなど比較的活発な動きを示しており、引き続き注意が必要となっている。

Dridexの活動状況（2014年10月～2015年7月）（世界中）

なお、「Dridex」が発見された当初は、バンキング・トロージャンの「Cridex」と大変よく似ていたため「Cridex」のアップデート版ではないかと疑われた。

「Cridex」（Win32/Cridex）は2012年10月に最初にESETにより検知され、2013年2月に活動のピークがあり、その後収束していたマルウェアである。

さらに歴史をさかのぼれば2010年前後あたりに発生していたバンキング・トロージャンとも仕組みが似ており、作成者が同一または模倣したのではないかと疑われている。

いずれにせよ「Cridex」も「Dridex」も汎用性が高いので、複合機のメッセージを偽装した今回の攻撃手法以外にも、今後さまざまな攻撃に利用される可能性があるだろう。

Dridexへの予防と感染した場合の対策

感染予防としては、少なくとも当面は、複合機からのメッセージメールの取り扱いには十分注意すべきである。

自社で使用している複合機の場合、件名、差出人名、添付ファイル名などがどのようになっているのかをこの機会にあらためて確認しておきたい。怪しいと思われるメールは原則として開封せずに削除してしまおう。

万が一「Dridex」 に感染した可能性があると考えられる場合、何よりも感染が広がらないように、そのパソコンをネットワークから外し電源を切っておこう。それから、セキュリティ担当者に報告し、今後の対策を相談する。

また、感染していないことが確実と思われる別のパソコンを使って、オンラインバンキングのログインのためのパスワードを変更しておこう。念のために、口座の取引履歴を確認し、身に覚えのない取引がないかどうかも確認しておいた方がいいだろう。