CYBER-BRIDGE INC.

menu
サイバー攻撃

拡張子 ".iqy" ファイルとは?
日本語マルウェアスパムを初確認

こんにちは。サイバーブリッジの久保田です。

突然ですが、拡張子が.iqyのファイルがあるのをご存知ですか?
この見慣れない拡張子のファイルの正体はなんでしょうか?
今回は、.iqyファイルについてと、8月に入って日本で初めて確認されたこの.iqyファイルが添付されたマルウェアスパムメールについてお話したいと思います。
(以下、トレンドマイクロ参考)

".iqy" ファイルとは?

".iqy" ファイルとは、Microsoft社の表計算ソフト「Excel」にWebクエリー機能(WebサーバーからExcelにデータを直接コピーする機能)をつけたファイルのことです。

使い方としては、Webで登録された経費データをExcelに取り込んで、データを自由に加工し、マクロを使って自動的に集計したり、グラフを作成したり、会計事務所に提出する書類を作成するなどの使い方ができます。あとは、Excelの表を開いて更新ボタンをクリックするだけで、いつでも最新の情報を使って集計やグラフ作成を行うことができるので、結構便利だったりします。
ちなみに、 ".iqy" ファイルのアイコンは.iqyアイコン←これです。

マルウェアスパムメール1日で29万通が日本国内に拡散

この8月に入り、日本語のスパムメールにおいて、拡張子が ".iqy" ファイルの添付を初確認しました。

メールの件名が「お世話になります」や、「ご確認ください」「写真添付」「写真送付の件」などのバリエーションが確認されています。このような確認すべき書類の送付を偽装し、受信者にファイルを開かせようとする内容の本文は、マルウェア拡散を目的とするマルウェアスパムでは常套手段となっています。

このマルウェアスパムの最大の特徴添付ファイルの拡張子が見慣れない ".iqy" となっていることです。この ".iqy" の添付ファイルによる攻撃は海外では今年の5月下旬以降に見られていましたが、日本向けの日本語マルウェアスパムとしては初確認と言えます。

添付ファイル名としては、「8月」+「数字列」に加え、「受信者名」+「数字列」という例も確認されています。いずれのファイル名であってもファイル内容は同一です。

トレンドマイクロの統計では、日本国内で同一のファイルを添付したメールを8月6日の1日のみで29万件以上確認しています。このような不審メールは、ほんの数時間のうちに大量送信されたのちに止む事が多く、今回確認したメールの送信も8月6日の夜には終了しているようです。
しかし、同種メールの大量送信が数日間のインターバルを挟んで繰り返す場合もあり、今回の事例に関してもまた同じ ".iqy" ファイルを添付したマルウェアスパムが拡散する可能性が高いものと考えられます。

".iqy" ファイル、開くとどうなる?

前述した通り、 ".iqy" ファイルはWebからデータを取り込み、ファイルを開くとExcelが起動して処理が行われます。

攻撃者はこの仕組みを利用し、不正スクリプトファイルをダウンロードさせて最終的にオンライン銀行詐欺ツール(バンキングトロジャン)である「URSNIF(アースニフ)」に感染させます。トレンドマイクロの動的解析によれば、マルウェアスパムに添付された不正な ".iqy" ファイルを開いた場合、Excelのセキュリティ機能により、下図のように実行を確認するメッセージが2回にわたって表示されることを確認しています。

1回目の表示は不正スクリプトのダウンロードと実行に対する確認、2回目の表示は実行された不正スクリプトによる外部接続に対する確認です。素性が不明な ".iqy" ファイルを開いてしまい、これらの確認メッセージが表示された場合には「無効にする」もしくは「いいえ」を選択することにより、最終的なマルウェアの侵入を防ぐことができます。

添付の “.iqy” ファイルを開いた際の例

攻撃者は自身の攻撃の効果を最大化すべく、常に新たな攻撃手法を模索しています。今回確認された ".iqy" ファイルもその1つであり、見慣れないファイル形式によりメール受信者の警戒を弱めて添付ファイルを開かせようという手口であると言えます。

被害に遭わないためには

".iqy" のファイルを日常的に使用していない場合には、Excelのメニューから「ファイル」▶︎「オプション」を選び、「セキュリティセンター」▶︎「ファイル制限機能の設定」にて「Microsoft Office クエリファイル」を開かない設定にすることで、意図しない ".iqy" ファイルの機能実行を防止できます。

Excelの「セキュリティセンター」の設定例

また、法人組織のネットワークでは、そもそも ".iqy" ファイルのメール受信を制限する対策も有効です。
このようなネット上の危険へ誘導しようとする手口に関しては、利用者としてその手口を知り騙されないようにすることも対策の1つとなります。また、そもそも不審なメールを可能な限りフィルタリングし、手元に届かないようにする対策の導入も重要です。

Check Pointによる防御は?

Check Point UTMを利用している場合Anti-Virusによってマルウェアの検出や除去を行う他、Anti-BotやURL Filteringが不正なURLへのアクセス遮断を行います。
更に、追加オプションであるThreat Emulationもiqyファイルをサポートしています。
未知の脅威を見つけ出すThreat Emulationならば、新たな亜種に対してもより強固な防御を実現することができます。

月額8000円から始められるUTMレンタル
Check Point 700シリーズ Check Point 5000シリーズ
2018年8月8日
 

他社様との相見積も歓迎!まずはご相談ください!!

\お急ぎの方はお気軽にお電話ください/

043-306-3735

【受付時間】09:00〜18:00 (土日祝日・夏季休暇・年末年始は休み)