楽天市場装うウイルス付き迷惑メール 請求書rtfファイルで感染被害に注意!
 
イメージ 1
 
有名なショッピングサイト 楽天市場 を勝手に名乗り、注文した商品の請求書を装った 迷惑メール(スパムメール) が不特定多数にバラ撒かれてるみたい。
 
偽メールを受信して驚きの声を挙げるユーザーさんの報告です。
■ シェーさんはTwitterを使っています: "yahooメールを久々にチェックしたら「2014/12/08日付ご注文No.(番号)」という件名で「請求書.rtf」というファイルが添付されたスパムメールが来てた。楽天使ったことないから引っかからなかったけど。"
https://twitter.com/ENS0607/status/541940411724333056
 
■ ぶるいぬさんはTwitterを使っています: "久々に迷惑フォルダ潜りぬけてきたメールみっけた 送信者がmyinfo@rakuten.co.jpに偽装されてるからすり抜けたんだろうなぁ yahooメールは添付ファイル無害扱いしてるけどアバストさんはぉこだょ><"
https://twitter.com/aodog11/status/541929766656307200
 
■ 雪草さんはTwitterを使っています: "楽天に登録してないメアドにRakutenって差出人の、請求書と名前の付いたZIP形式の添付ファイルだけのメールが来たのだけど、なんだこれ。一応楽天に問合せするかな。昨日今日は買い物してないし"
https://twitter.com/yukikusa/status/541935329947570176

■ miyaco_ochiさんはTwitterを使っています: "楽天名乗ったスパムメール着てた。何で注文のメールにzipファイル付いてんだよw 即削除したわ"
https://twitter.com/miyaco_ochi/status/542121670761148416
メールの差出人は楽天市場(Rakuten)から送信されてきたかよう偽装されていて、その楽天から ”なりすましメール” の注意情報が発表されてます。
 
「請求書_8_12_2014.rtf」というファイルが添付されたメールにご注意ください - 楽天市場 ヘルプ
http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/26504
 
<追記始め...> 2015年2月に同系ウイルスメールが再びバラ撒かれた模様。
 

添付ファイルは請求書/領収証ならぬウイルス

楽天市場に成りすました偽メールに添付されてたファイルの形式は リッチテキストファイル拡張子 .rtf) です。
 
《ファイル名》 請求書_8_12_2014.rtf
《MD5ハッシュ値》 e13aabaa3a6357d215f9620315fc047f
> www.virustotal.com/ja/file/e2ec93581e7792bb39fae2c14fc0756f730ec8c66d7c436bce1f4e7b43fb1ab0/analysis/1418035700/
> a.virscan.org/e13aabaa3a6357d215f9620315fc047f
 
このリッチテキストファイルの内部には Windows向け実行ファイル が埋め込まれてる模様で 『画像をダブルクリックして領収証をお受け取りください。』 というメッセージでユーザーに起動を誘う巧妙な手口になります。
 
イメージ 2
現物のRTFファイルが手元にないため VirSCAN.org の画像から
 
ちなみに、影響環境はWindowsパソコンのみで、Mac OS X、Androidスマホ、iOS(iPhoer/iPad)、ガラケー は関係ないです。

開いてしまうユーザーさんが…

添付ファイルを確認する行動をしてしまう確率が時期だ時期だけに高いのか、実際に怪しいメールと見抜けずに不正なrtfファイルを開いてしまったと報告するユーザーさんが結構います。
■ TOMOさんはTwitterを使っています: "Rakutenから買い物してないのに2014/12/08日付ご注文№164284ってメール来て変やなと思いながら添付ファイル開いてしまったw ウイルスかなwwwww"
https://twitter.com/tomosanamoka/status/541972313747369985

■ sui.aさんはTwitterを使っています: "楽天から2014/12/08日付のご注文No~という身に覚えの無いメールが。 本文にcopyright(c)Rakuten,Inc,All Rights Reserved.のみ、wordで作成された請求書が添付されてる。開いて画像クリックするとウイルス云々と警告が···こええ"
https://twitter.com/suisaidrop/status/541901431783956480

■ 多忙のしゅっくんさんはTwitterを使っています: "え、楽天から請求メール届いたけど これ開いたらヤバいやつ??え、ウイルスとか系? 表示されなかったんだけどちゃんと表示されなかった場合大丈夫? テンパって開いてしまったんやけど…"
https://twitter.com/syuki_nano/status/542004274356424704

■ 黒乃さんはTwitterを使っています: "PC起ち上げついでにrtfのファイル保存してウィルスチェックかけて開いた結果、信用出来る所じゃねーから一部ブロックするわーになったんだよにゃー。うーん。そしてなんか、はっつけてある画像ダブルクリックして請求書受け取れの一文のみ。"
https://twitter.com/black_alfeca/status/541910886298820609
セキュリティソフトが検出しないのを根拠に開いてしまうユーザーさんまでいてア然…。 <実際にはウイルス定義データでの対応が間に合ってないだけ
 
巷では 『怪しいメールを開くな!』 と言われるけど、現実には ”怪しい” と判断できないユーザーさんが複数出現し、”古典的” として軽視されかねない ウイルスメール は決して無視してはならない有効な攻撃手法 です。
 

 
<12月10日 追記...>
 
狙いはネットバンキングのお金を盗むウイルスを感染させる目的だそうです。
 
12月8日から急増の請求書偽装スパム、主な狙いは国内銀行15行の認証情報か? - トレンドマイクロ
http://blog.trendmicro.co.jp/archives/10558/
■ 濵田さんはTwitterを使っています: "楽天を名乗るメールに添付されてる請求書_8_12_2014.rtfにはinvoice_8122014が埋め込まれていて、これを開くとcrtbtybtyvtytytbyt.exeがダウンロードされTrojan.Smoalerに感染する。"
https://twitter.com/JojiHamada/status/542614161486643201
TROJ_WERDLOD.A | 危険度: 低 | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=TROJ_WERDLOD.A
 
TROJ_DOFOIL.EJSO | 危険度: 低 | トレンドマイクロ:セキュリティ情報
http://about-threats.trendmicro.com/malware.aspx?language=jp&name=TROJ_DOFOIL.EJSO
関連するブログ記事