開いてはいけない。拡張子.iqyの添付スパムメールの対策




拡張子”.iqy”のファイルとは?1 日でメール 29 万通が日本国内に拡散

トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、この8月に入り、日本語のスパムメールにおいて、拡張子 “.iqy” のファイルの添付を初確認しました。

この例では「お世話になります」という件名ですが、他にも「ご確認ください」、「写真添付」、「写真送付の件」などのバリエーションが確認されています。このような確認すべき書類の送付を偽装し、受信者にファイルを開かせようとする内容の本文は、マルウェア拡散を目的とするマルウェアスパムでは常套手段となっています。

このマルウェアスパムの最大の特徴は添付ファイルの拡張子が見慣れない “.iqy” となっていることです。この “.iqy” 拡張子の添付ファイルによる攻撃は海外では 5 月下旬以降に見られていましたが、日本向けの日本語マルウェアスパムとしては初確認と言えます。

.iqy・・・マイクロソフトのエクセルで使用されている拡張子。インターネット経由で外部の情報をエクセルにデータとして取り込むもの。このような仕組みのため、攻撃者は外部の不正ファイルをターゲットのPCにダウンロードさせることができてしまう。

今回の事例では、添付された.iqyファイルをクリックしてしまっても、それだけでは影響はでない。windowsのデフォルトの設定では、EXCELが起動するはずだが、EXCELのセキュリティ機能により、「実行の有無」のメッセージが表示されるので、その時に「無効にする」もしくは「いいえ」を選択すること。

あまり聞きなれない(見慣れない)拡張子ですが、今回の「.iqy」拡張子のように、自分が業務上、あるいは公私共に利用していない拡張子のファイルは、全て「メモ帳」アプリがデフォルトで起動するように設定しておけば、アンチウイルスソフトと合わせて二重チェックできるようです。

また、別の方がコメントしているように、スパムに設定されているメールの件名は頻繁に変更されるので、注意すべきは怪しいメールの件名や内容のフォーマットをチェックするのではなく、アンチウイルスソフトの導入やメールフィルタ機能が素晴らしいgmailの使用、あるいは、使用していない拡張子のファイルの起動を無効化するなどの、設定を検討する必要があります。

みんなの反応どうでしょう

日経サイエンス
@NikkeiScience

拡張子iqyのファイル使う攻撃メール 8月6日から急増:日本経済新聞

2018年08月10日

北河拓士 KITAGAWA,Takuji
@kitagawa_takuji

ちょっと前に話題になったCSVファイルでマルウェア感染するものも、今回のIQYファイルも、ファイルを開いてしまったとしても警告が出るのでそこで「無効にする」をクリックすれば感染はしない。これが一番重要。

毎回毎回、いろんな拡張子や件名で注意喚起されても、一般の人は覚えてられない。

2018年08月10日

ゆゆゆ
@tdyu05

iqyという拡張子初めて知った。その意味では目新しい気がするけど、マクロ有効化からの感染だから手口としてはベタなやり方ですね。

拡張子「.iqy」の添付ファイルに注意! ウイルス感染狙うメールが1日だけで29万件も拡散 – INTERNET Watch

2018年08月10日

紗羅@執行済
@romancika0226

iqy(jqy?)拡張子のやつ、私も一昨日位から2回は届いてる。

2018年08月09日

maco
@mshinoz

.iqyファイルか…そもそも自分のPCはOfficeが入ってないや。。。

2018年08月09日

マルウェア情報局
@MalwareInfo_JP

【注意喚起】様々な書類送付を装ったマルウェア添付のメールが確認されています。これらのメールにある添付ファイル(iqy形式)は絶対に開かないようご注意ください。

・件名
「ご確認ください」
「お世話になります」他#ESET #キヤノンITソリューションズ

2018年08月06日

トレンドマイクロ
@trendmicro_jp

【拡張子”.iqy”のファイルとは?メール 29 万通が日本国内に拡散】
日本語のスパムメールにおいて、拡張子 “.iqy” のファイルが添付されたものを初めて確認しました。オンライン銀行詐欺ツールの感染を目的とした新たに登場したスパムメールの手口について解説します。⇒https://t.co/xkL6xZZFma

2018年08月08日

Neutral8✗9eR
@0x009AD6_810

IPA のこれ https://t.co/MoE8Yi4OBM なんですが、.iqy ファイルを開くとデフォルトで Excel が起動し、Excel 内蔵の Web ブラウザによって内部に書かれている URL からデータを取得するというものなので『「保護ビュー」を有効にしている状態でもウイルスに感染させられてしまいます』ではなくて、

2018年08月08日

Neutral8✗9eR
@0x009AD6_810

(1) 保護ビューに関係なく外部にアクセスさせられてしまうが Office の外部コンテンツブロック機能により警告プロンプトが表示される
(2) この警告に対して「有効にする」をクリックすると今度はダウンロードされた Powershell スクリプトによる cmd.exe の実行を確認する警告プロンプトが表示される

2018年08月08日

Neutral8✗9eR
@0x009AD6_810

保護ビューを有効にしているかどうかはあまり関係なく『(1) で「有効にする」をクリックし、かつ (2) で「はい」をクリックした場合にのみマルウェアに感染してしまう』が正確な表現だと思われます。

2018年08月08日

Hisashi Nishimura
@hisashinis

末尾がiqyて。拡張子と書いてくれ。しかも全角文字の拡張子てないわ – 新手のメール攻撃 国内で数百万通か 盆休み明けに注意を | NHKニュース

2018年08月10日

辻 伸弘 de Japón (nobuhiro tsuji)
@ntsuji

ばらまかれている”.iqy”拡張子のウイルスへの対策もそうですが".vbs"にしても、".hta"にしても業務上必要ないと判断できるのであればアンチウイルスソフトで検知することを考える前に関連付けをメモ帳に変えてしまえばいいんじゃないですかね。ADがあればグループポリシーでさくっとできちゃいますよ。

2018年08月08日

Enz.M
@enz_3ura

IPAのレポートはこれです。
ちなみにIQYファイルとはExcelと関連付けられているファイルで
ExcelにWebQuery機能をつけたファイルのことみたいです。

アイコンをキチンと見たり、拡張子表示してればすぐにゴミ箱へポイですね。
(アイコン怪しすぎw)

2018年08月07日

hiro_
@papa_anniekey

ホテル帰ってきました。もう一杯飲み行く前に、きになったので.iqyのファイルを初めてまじめにみたのですが、なんとこれしか書かれていないのですね…

2018年08月08日

北河拓士 KITAGAWA,Takuji
@kitagawa_takuji

「.iqy」を悪用した攻撃で重要なのは、もし添付ファイルをクリックしてしまっても「Microsoft Excelのセキュリティに関する通知」が出るので、そこで絶対に「有効にする」をクリックしないこと。「無効にする」をクリックすれば感染することはない。件名などに注意しても、そんなものはいずれ変わる。

2018年08月08日

abel
@abel1ma

古い話ですが……
拡張子iqyのファイルを添付した不審メールですが、5月25日23時に以下のメールを数件ほど観測していました
件名:Unpaid invoice [ID:数字]

余談
この不審メールはSPAM対策機器や振る舞い検知装置で検知できなかったため、
拡張子iqyを添付したメールは配送保留にするようにしました

2018年08月09日

北河拓士 KITAGAWA,Takuji
@kitagawa_takuji

ちょっと前に話題になったCSVファイルでマルウェア感染するものも、今回のIQYファイルも、ファイルを開いてしまったとしても警告が出るのでそこで「無効にする」をクリックすれば感染はしない。これが一番重要。

毎回毎回、いろんな拡張子や件名で注意喚起されても、一般の人は覚えてられない。

2018年08月10日

Enz.M
@enz_3ura

ちなみに、各種情報を整理するとこんな感じ。

メール件名
 ・ お世話になります
 ・ ご確認ください
 ・ 写真添付
 ・ 写真送付の件
 
添付ファイル名
  [受信者名].[数字列].iqy
  8月・[数字列].iqy

2018年08月08日

bom
@bomccss

#不審メール のばらまきを観測しています。

件名:
お世話になります
ご確認ください
写真添付
写真送付の件

添付:
ユーザ名.数字.iqy

2018年08月06日

マリナ
@marina_sbt

iqyファイル付いてるやつ!昨日来てたー!
明らかに危険そうなアイコンのファイルでした。

新手のメール攻撃 国内で数百万通か 盆休み明けに注意を | NHKニュース

2018年08月09日

ちゅわん
@tufs_tyuwan0616

「見慣れないファイル名でユーザーがファイルを開くように促す」って手口らしいけど、見慣れないファイル名だったら絶対開かなくない……?怪しいじゃん
逆にJPEGとかPNGとか見慣れたやつならわかる

拡張子「.iqy」のファイル添付メール 国内で29万通を確認し警鐘

2018年08月09日

abel
@abel1ma

8月6日16時35分ごろから不審なメールがばら撒かれています
こちらで確認できているものは以下の1件です
件名 写真送付の件
添付ファイル ユーザ名.数字.iqy
接続先URL hxxp://jiglid[.]com/sc4

2018年08月06日

ねこさん⚡Ͷow or Ͷever(ΦωΦ)
@catnap707

久しぶりにばらまきがあったようです。
件名:『お世話になります』『ご確認ください』『写真添付』『写真送付の件』
添付:8月・566477.iqy、[受信者メールアドレスのホスト部].66332.iqy (拡張子が.iqy )
.iqyを開くと、Excelが起動し、「外部コンテンツを取得します」のダイアログ表示

2018年08月06日

maco
@mshinoz

.iqyファイルか…そもそも自分のPCはOfficeが入ってないや。。。

2018年08月09日

轍疲労
@hiro_5

エクセルのWebQueryファイルの送りつけ詐欺祭り炎上中
拡張子(.iqy )わんさか来るけどフィルタでゴミ箱直行
開くとマルウェア感染するパターン。まったくほんまよく考えるなぁ#iqy

2018年08月06日


この記事が気に入ったら
フォローお願いします

最新情報をお届けします!

この記事が気に入ったら
フォローお願いします

最新情報をお届けします!

記事一覧

【妊娠が分かったらタカラトミーの株を買え】 理由は 3年保有→ほぼ全てのタカラトミーのオモチャが40%オフで買える→子供3歳の時に爆裂助かる 毎年、無料で特別トミカを貰えて、プラレールも安くなるとか神か

ヒロキ★心を掴むブランド化の人@hiroking10ten 【妊娠が分かったらタカラトミーの株を買え】 理由は 3年保有→ほぼ全てのタカラトミーのオモチャが40%オフで買える→子供3歳の時に…続きを読む