開いてはいけない。拡張子.iqyの添付スパムメールの対策
拡張子”.iqy”のファイルとは?1 日でメール 29 万通が日本国内に拡散
トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、この8月に入り、日本語のスパムメールにおいて、拡張子 “.iqy” のファイルの添付を初確認しました。
この例では「お世話になります」という件名ですが、他にも「ご確認ください」、「写真添付」、「写真送付の件」などのバリエーションが確認されています。このような確認すべき書類の送付を偽装し、受信者にファイルを開かせようとする内容の本文は、マルウェア拡散を目的とするマルウェアスパムでは常套手段となっています。
このマルウェアスパムの最大の特徴は添付ファイルの拡張子が見慣れない “.iqy” となっていることです。この “.iqy” 拡張子の添付ファイルによる攻撃は海外では 5 月下旬以降に見られていましたが、日本向けの日本語マルウェアスパムとしては初確認と言えます。
blog.trendmicro.co.jp.iqy・・・マイクロソフトのエクセルで使用されている拡張子。インターネット経由で外部の情報をエクセルにデータとして取り込むもの。このような仕組みのため、攻撃者は外部の不正ファイルをターゲットのPCにダウンロードさせることができてしまう。
今回の事例では、添付された.iqyファイルをクリックしてしまっても、それだけでは影響はでない。windowsのデフォルトの設定では、EXCELが起動するはずだが、EXCELのセキュリティ機能により、「実行の有無」のメッセージが表示されるので、その時に「無効にする」もしくは「いいえ」を選択すること。
あまり聞きなれない(見慣れない)拡張子ですが、今回の「.iqy」拡張子のように、自分が業務上、あるいは公私共に利用していない拡張子のファイルは、全て「メモ帳」アプリがデフォルトで起動するように設定しておけば、アンチウイルスソフトと合わせて二重チェックできるようです。
また、別の方がコメントしているように、スパムに設定されているメールの件名は頻繁に変更されるので、注意すべきは怪しいメールの件名や内容のフォーマットをチェックするのではなく、アンチウイルスソフトの導入やメールフィルタ機能が素晴らしいgmailの使用、あるいは、使用していない拡張子のファイルの起動を無効化するなどの、設定を検討する必要があります。
みんなの反応どうでしょう
北河拓士 KITAGAWA,Takuji @kitagawa_takuji
ちょっと前に話題になったCSVファイルでマルウェア感染するものも、今回のIQYファイルも、ファイルを開いてしまったとしても警告が出るのでそこで「無効にする」をクリックすれば感染はしない。これが一番重要。
毎回毎回、いろんな拡張子や件名で注意喚起されても、一般の人は覚えてられない。
iqyという拡張子初めて知った。その意味では目新しい気がするけど、マクロ有効化からの感染だから手口としてはベタなやり方ですね。
拡張子「.iqy」の添付ファイルに注意! ウイルス感染狙うメールが1日だけで29万件も拡散 – INTERNET Watch
【注意喚起】様々な書類送付を装ったマルウェア添付のメールが確認されています。これらのメールにある添付ファイル(iqy形式)は絶対に開かないようご注意ください。
・件名
「ご確認ください」
「お世話になります」他#ESET #キヤノンITソリューションズ
【拡張子”.iqy”のファイルとは?メール 29 万通が日本国内に拡散】
日本語のスパムメールにおいて、拡張子 “.iqy” のファイルが添付されたものを初めて確認しました。オンライン銀行詐欺ツールの感染を目的とした新たに登場したスパムメールの手口について解説します。⇒https://t.co/xkL6xZZFma
IPA のこれ https://t.co/MoE8Yi4OBM なんですが、.iqy ファイルを開くとデフォルトで Excel が起動し、Excel 内蔵の Web ブラウザによって内部に書かれている URL からデータを取得するというものなので『「保護ビュー」を有効にしている状態でもウイルスに感染させられてしまいます』ではなくて、
(1) 保護ビューに関係なく外部にアクセスさせられてしまうが Office の外部コンテンツブロック機能により警告プロンプトが表示される
(2) この警告に対して「有効にする」をクリックすると今度はダウンロードされた Powershell スクリプトによる cmd.exe の実行を確認する警告プロンプトが表示される
保護ビューを有効にしているかどうかはあまり関係なく『(1) で「有効にする」をクリックし、かつ (2) で「はい」をクリックした場合にのみマルウェアに感染してしまう』が正確な表現だと思われます。
末尾がiqyて。拡張子と書いてくれ。しかも全角文字の拡張子てないわ – 新手のメール攻撃 国内で数百万通か 盆休み明けに注意を | NHKニュース
辻 伸弘 de Japón (nobuhiro tsuji) @ntsuji
ばらまかれている”.iqy”拡張子のウイルスへの対策もそうですが".vbs"にしても、".hta"にしても業務上必要ないと判断できるのであればアンチウイルスソフトで検知することを考える前に関連付けをメモ帳に変えてしまえばいいんじゃないですかね。ADがあればグループポリシーでさくっとできちゃいますよ。
IPAのレポートはこれです。
ちなみにIQYファイルとはExcelと関連付けられているファイルで
ExcelにWebQuery機能をつけたファイルのことみたいです。
アイコンをキチンと見たり、拡張子表示してればすぐにゴミ箱へポイですね。
(アイコン怪しすぎw)
北河拓士 KITAGAWA,Takuji @kitagawa_takuji
「.iqy」を悪用した攻撃で重要なのは、もし添付ファイルをクリックしてしまっても「Microsoft Excelのセキュリティに関する通知」が出るので、そこで絶対に「有効にする」をクリックしないこと。「無効にする」をクリックすれば感染することはない。件名などに注意しても、そんなものはいずれ変わる。
古い話ですが……
拡張子iqyのファイルを添付した不審メールですが、5月25日23時に以下のメールを数件ほど観測していました
件名:Unpaid invoice [ID:数字]
余談
この不審メールはSPAM対策機器や振る舞い検知装置で検知できなかったため、
拡張子iqyを添付したメールは配送保留にするようにしました
北河拓士 KITAGAWA,Takuji @kitagawa_takuji
ちょっと前に話題になったCSVファイルでマルウェア感染するものも、今回のIQYファイルも、ファイルを開いてしまったとしても警告が出るのでそこで「無効にする」をクリックすれば感染はしない。これが一番重要。
毎回毎回、いろんな拡張子や件名で注意喚起されても、一般の人は覚えてられない。
ちなみに、各種情報を整理するとこんな感じ。
メール件名
・ お世話になります
・ ご確認ください
・ 写真添付
・ 写真送付の件
添付ファイル名
[受信者名].[数字列].iqy
8月・[数字列].iqy
iqyファイル付いてるやつ!昨日来てたー!
明らかに危険そうなアイコンのファイルでした。
新手のメール攻撃 国内で数百万通か 盆休み明けに注意を | NHKニュース
「見慣れないファイル名でユーザーがファイルを開くように促す」って手口らしいけど、見慣れないファイル名だったら絶対開かなくない……?怪しいじゃん
逆にJPEGとかPNGとか見慣れたやつならわかる
拡張子「.iqy」のファイル添付メール 国内で29万通を確認し警鐘
8月6日16時35分ごろから不審なメールがばら撒かれています
こちらで確認できているものは以下の1件です
件名 写真送付の件
添付ファイル ユーザ名.数字.iqy
接続先URL hxxp://jiglid[.]com/sc4
ねこさん⚡Ͷow or Ͷever(ΦωΦ) @catnap707
久しぶりにばらまきがあったようです。
件名:『お世話になります』『ご確認ください』『写真添付』『写真送付の件』
添付:8月・566477.iqy、[受信者メールアドレスのホスト部].66332.iqy (拡張子が.iqy )
.iqyを開くと、Excelが起動し、「外部コンテンツを取得します」のダイアログ表示
エクセルのWebQueryファイルの送りつけ詐欺祭り炎上中
拡張子(.iqy )わんさか来るけどフィルタでゴミ箱直行
開くとマルウェア感染するパターン。まったくほんまよく考えるなぁ#iqy
