DocuSign - 法務部門の文書メール詐欺

予期せぬメールは、特に緊急性を煽り、信頼できるブランドから送信されたように見せかける場合、重大なサイバーセキュリティリスクをもたらす可能性があります。サイバー犯罪者は、よく知られた企業を悪用して、詐欺メールを説得力のあるものに見せかけ、受信者がメールに反応する可能性を高めようとします。「DocuSign - 法務部文書」というメール詐欺はその一例です。これらのメールは、DocuSignや、いかなる正当な企業、組織、団体とも関連していません。むしろ、マルウェアを拡散するために設計された悪質なスパムキャンペーンの一環です。

偽の法的文書の要求

サイバーセキュリティ研究者らはこれらのメールを分析し、受信者を騙して悪意のあるソフトウェアをダウンロードさせることを目的としたマルスパムメールであると特定した。これらのメールは通常、「サプライチェーン規制申請ID#SCR-392847」という件名で届き、DocuSignの法務部から送信されたと偽っている。

メッセージによると、電子署名が必要な文書が送信されており、3日以内に確認する必要があるとのことです。正当性を高めるため、メールには目立つ「文書を確認」ボタンがあり、セキュリティコード付きの「代替署名方法」も用意されています。これらの要素は、依頼が本物らしく信頼できるものに見えるように巧妙に設計されています。

DocuSignは正規の電子署名プラットフォームですが、このキャンペーンとは一切関係ありません。さらに、送信者のメールアドレスはDocuSign自体のものではなく、無関係の第三者のドメインから発信されています。

メールの真の目的

この詐欺の最終目的は、受信者に悪意のあるISOディスクイメージファイルをダウンロードさせることです。被害者が提供されたボタンをクリックするか、別の指示に従うかにかかわらず、有害なファイルを入手するように誘導されます。

ISOファイルはWindowsによって仮想ドライブとして直接マウントできるため、サイバー犯罪者にとって魅力的なツールとなっている。攻撃者は、この形式が、より明白な悪意のある添付ファイルをブロックするセキュリティフィルターを回避できる場合があるため、しばしばこの形式を利用する。

ISOファイルがマウントされると、次の名前の実行可能ファイルが1つ表示されます。

'NDA_Agreement_X7K9P2Q4R8V3M5N1Z6.DOC.vmp.exe'

ファイル名は意図的に誤解を招くように作られています。「.DOC」という拡張子は、ファイルが無害なMicrosoft Word文書であるかのように見せかけるためのものです。実際には、最後の「.exe」という拡張子は、被害者のコンピュータ上でコードを実行できる実行可能プログラムであることを示しています。

ファイルを開いた後、何が起こるのか？

このキャンペーンを通じて配信されたマルウェアの種類は、まだ特定されていません。しかし、このファイルには、ランサムウェア、バンキング型トロイの木馬、認証情報窃盗マルウェア、キーロガー、リモートアクセス型トロイの木馬（RAT）、その他の悪意のあるソフトウェアなど、さまざまな危険な脅威がインストールされる可能性があります。

考えられる影響としては、以下のようなものがある。

• ユーザー名、パスワード、および金融情報の盗難
• 個人情報盗難、金銭的損失、不正なシステムアクセス、およびデータ暗号化

マルウェアの機能は不明であるため、実行ファイルとのあらゆるやり取りは重大なセキュリティインシデントとして扱うべきである。

詐欺を見破る警告サイン

一見すると説得力のあるメッセージに見えるものの、いくつかの兆候から詐欺行為の可能性が示唆される。このメールは、文書審査の期限を3日間とすることで、緊急性を強く訴えている。また、法的文書の識別番号に言及することで、重要性を印象づけ、受信者に要求内容を確認することなく迅速な対応を促すよう圧力をかけている。

DocuSignのような信頼できるブランド名を利用するのも、よくあるソーシャルエンジニアリングの手法の一つです。サイバー犯罪者は、ユーザーが馴染みのあるサービスを信頼しやすいことを理解しており、特にメッセージがプロフェッショナルな印象を与え、認証コードや署名手順などの詳細情報が含まれている場合はなおさらです。

このメールを受け取った場合の対処法

受信者は、いかなる方法であってもメッセージに反応しないようにしてください。最も安全な方法は、メールを直ちに削除し、添付ファイルを開いたり、リンクをクリックしたり、ファイルをダウンロードしたり、メッセージに含まれる指示に従ったりしないことです。

既にファイルをダウンロードまたは実行してしまった方は、可能であれば影響を受けたデバイスをネットワークから切断し、信頼できるウイルス対策ソフトまたはエンドポイントセキュリティソフトを使用して包括的なスキャンを実行してください。また、特に機密性の高いアカウントが漏洩した可能性がある場合は、クリーンなデバイスでパスワードを変更してください。

スパムキャンペーンがマルウェアを拡散する方法

DocuSignを題材にしたキャンペーンは、サイバー犯罪における広範な傾向の一例に過ぎません。悪意のあるスパムメールは、マルウェアを拡散する最も一般的な方法の一つであり続けています。攻撃者は、有害なコンテンツを請求書、法的通知、配送状況の更新、アカウントアラート、またはビジネス文書に偽装することが常態化しています。

マルウェアの一般的な配信形式には、ZIPおよびRARアーカイブ、実行ファイル、PDF文書、Microsoft Officeファイル、スクリプト、ISOやIMGファイルなどのディスクイメージ形式が含まれます。悪意のあるファイルの中には、開くとすぐに感染プロセスを開始するものもあれば、マクロの有効化、アーカイブコンテンツの抽出、埋め込み実行ファイルの起動など、ユーザーによる追加の操作が必要なものもあります。

最後に

「DocuSign - 法務部文書」を装ったメール詐欺は、サイバー犯罪者が信頼できるブランドを装い、法律関連のメッセージや人為的な緊急性を巧みに利用して、被害者をマルウェア実行に誘導する手口を示しています。一見すると本物のように見えるこのメールですが、その真の目的はシステムを感染させ、機密情報を漏洩させることです。特に、即時の対応やファイルのダウンロードを要求する迷惑メールには、常に警戒を怠らないことが、こうした脅威に対する最も効果的な防御策の一つです。