セキュリティ最新ニュース SECURITY NEWS

  • このエントリーをはてなブックマークに追加

Security

.iqyファイルを利用した攻撃について

今月に入り、拡張子「.iqy」形式のファイルを添付したスパムメールによる攻撃が報告されています。
iqyファイルはエクセルのWebクエリ機能を利用するファイルです。指定したウェブサイトのデータを取得し、エクセルファイルに展開します。
今回の攻撃では、この機能を利用して不正なスクリプトを取得させ、そのスクリプトが動作することでバンキングトロジャンである「Ursnif」に感染させます。

基本的な対処法

今回の攻撃では、最初にiqyファイルを送りつける第一段階、そのiqyファイルによってスクリプトが取得される第二段階、そのスクリプトによってマルウェアをダウンロードする第三段階に攻撃フェーズを分けることができます。
最も確実な対処は第一段階で防ぐことです。「不審なファイルは開かない」ことが大切です。
また、iqyファイルを開くとエクセル上で次のような警告メッセージが表示されます。

ここで「無効にする」を選択すれば、クエリの動作をさせずに終了することができます。

Check Pointによる防御は?

Check Point UTMを利用している場合Anti-Virusによってマルウェアの検出や除去を行う他、Anti-BotやURL Filteringが不正なURLへのアクセス遮断を行います。
更に、追加オプションであるThreat Emulationもiqyファイルをサポートしています。
未知の脅威を見つけ出すThreat Emulationならば、新たな亜種に対してもより強固な防御を実現することができます。

img_cp700_01 img_cp5000

参考(外部リンク)

拡張子「.iqy」の添付ファイルに注意! ウイルス感染狙うメールが1日だけで29万件も拡散 | INTERNET Watch

記事一覧に戻る