LoginSignup
0

More than 5 years have passed since last update.

不審メールでiqyファイルが流行ってます

Last updated at Posted at 2018-08-12

はじめに

.iqyという聞き慣れない拡張子を持つウィルスメールが流行っているそうなので調べてみました。

.iqy ファイルとは

iqyは「Internet Inquiry File」の略。
エクセルで「Webクエリ」という機能を使うと生成される、中身はURLが書かれているテキストファイルです。

Webクエリ機能自体はだいぶ昔(Excel97くらい)から実装されているらしく、web上にあるテーブルを取り込んでエクセルに貼り付けてくれるものです。

・・・便利だ。。知らなかった。。

.iqyファイルのフォーマットは以下

1行目はWEB(固定)(省略可能)
2行目は1(固定)(省略可能)
3行目はURL
4行目以降は3行目が200文字を超える場合に使用する。

.iqyファイルをダブルクリックして実行するとエクセルが起動しますが、データ接続をしてもよいかの問い合わせダイアログが表示され、OK押下でWEBにアクセスし、データをエクセルに表示しています。

さて、これがどのように攻撃につながるのでしょうか。。

攻撃手法

【トレンドマイクロ】拡張子”.iqy”のファイルとは?1 日でメール 29 万通が日本国内に拡散
.iqyファイルを添付したメールを送付、.iqyファイルを開くと最終的にバンキングマルウェア「Ursnif」に感染する。という攻撃が流行っているそうです。

【はてな】『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査
検体を解析した情報が載っています。
1. .iqyファイルを開くとまず攻撃コードをダウンロードします。
2. 攻撃コードには
=CMD|'/C PoWerSHeLL ...
と、エクセルからコマンドプロンプトを起動し、PowerShellを更に起動しています。

感想

うまいことやりますね。。なるほど〜と感心しました。
エクセルの方では .iqy ファイルを開くときに注意ダイアログが、コマンドプロンプトを開くときに更に注意ダイアログが表示されるので、たぶん感染する人はだいぶ少ないのではないかと思います。

参考

【JC3】不正送金等の犯罪被害につながるメールに注意

【INTERNET Watch】拡張子「.iqy」の添付ファイルに注意! ウイルス感染狙うメールが1日だけで29万件も拡散

【トレンドマイクロ】拡張子”.iqy”のファイルとは?1 日でメール 29 万通が日本国内に拡散

【はてな】『ご請求額の通知』『インボイス』『プロジェクト』『写真』『支払い』『文書』『請求・支払データ』『資料』の調査

ウェブデータを有効活用!Excelの「Webクエリ」機能を使って自動取込する

【ブログ】iqyファイルってご存じですか?

履歴

2018/08/12 初版

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0