日本国民税金庁!? 迷惑メール.jsファイル開いたウイルス感染 2つの対策

イメージ 5

日本の公的機関である 国税庁 を騙って、税金の滞納通知を装った日本語表記の 迷惑メール(スパムメール) が確認されてます。

ただ、メール本文の冒頭には、聞いたことのない 日本国民税金庁 なるナゾの組織が登場し、怪しさ爆発です。 <そんな機関は実在せんよ

■ えいとさんのツイート: "早朝から偽メールが来た。『日本国民税金庁(国税庁)』には笑った。"
https://twitter.com/eight_ne/status/785604097898536960

■ 小倉さんのツイート: "やばい。 日本国民税金庁から、滞納してる税金を払えよ、ゴルァ、というメールが届いてしまった。 どうしよう…。 とりあえず添付ファイルを力一杯ダブるクリツクしてみようか…"
https://twitter.com/oguray/status/785619635387240449

■ やぎにょんさんのツイート: "日本国民税金庁なんてこのスパムメールではじめて知ったw 添付されているJavaScriptはいったい何なんだろうね?"
https://twitter.com/yaginyone_jnr/status/785632393885470720

メールには添付ファイルが付いていて、当の国税庁も注意喚起してます。

イメージ 6
国税庁 National Tax Agency

国税庁を名乗る者・団体から不審メールが送信される事例が発生しておりますのでご注意ください - 国税庁

『国税庁では、納税者の皆様に電子メールで直接、申告書の提出期限や罰則等に関する内容をお知らせすることや添付ファイルを送信することはございません。また、メールに添付されたファイルはクリックしないようお願いいたします。』

> https://www.nta.go.jp/sonota/sonota/osirase/topics/note_fake.htm

添付ファイルはウイルス スクリプトファイル.js

国税庁を騙る迷惑メールの現物は、手元で受信してません。

ただ、オンラインマルウェア解析サイト Malwr にアップロードされていた不正なファイルを頂戴してきたので、手元の Windows 環境で動作確認してみました。


圧縮ファイルを解凍すると?

まず、添付ファイルは zip 形式の圧縮アーカイブです。

これを手動で解凍・展開すると、次のように Windows スクリプトファイル という種類が登場しました。 <ファイル名は英語で 「国税庁」「税金」 の意味

イメージ 1
メールで送られてきたウイルスの実物画像

【不正なスクリプトファイル】
Japan National Tax Agency.js
Tax.js

このファイルは、当然から国税庁や税金についてのブツではないし、決して文書ファイルではありません

  • ファイルの形式は?
    → JScript Script ファイル / JavaScript ファイル

  • ファイルの拡張子は?
    → ~ .js

アイコン画像に ”巻き物” が描かれてあるけど、ホント勘違いしないでー!

なお、次の時点では別に何も危険なことはいっさい起こってません。

  • メールを受信してメッセージ本文を単に読んだ

  • メールソフトのプレビュー機能でメールの内容が表示された


ネットバンキングウイルスに感染!

このスクリプトファイル .js を Windows パソコン上でポチポチッと ダブルクリック して開いたらどうなる?

実際に開いた直後の Windows のプロセスの様子がコレ!

イメージ 2

そして、次の段階に移ります。

Windows の正規プログラム Windows PowerShell を介して外部ネットワークに接続を試み、不正な実行ファイルをダウンロードしてきてシレッと起動します。

イメージ 3
実行ファイル Roaming.exe が起動し感染した瞬間

wscript.exe … スクリプト実行環境
 └ cmd.exe … コマンドプロンプト
  └ powershell.exe … Windows PowerShell
   └ ***.exe … 不正な実行ファイル (マルウェア)

Windows のシステムに最初から用意されてある正規プログラム Windows PowerShell を悪用してくる理由は、導入されてるであろう セキュリティソフトの検出を迂回するため です。

イメージ 4
マルウェアをダウンロードする PowerShell スクリプト

この実行ファイル .exe の正体は?

ネットバンキング不正送金やクレジットカード不正利用の被害で暗躍してるマルウェア Ursnif(読み方 アースニフ) という脅威になります。

【ウイルス検体ファイル】
MD5 8d3b4da716344ce57f28ab5210e82bfc
www.virustotal.com/ja/file/37c0f1b1258836030359e149c7ea4ec92d6d8a1bbf299e926191e2f19da00ff0/analysis/1476159239/
C&Cサーバー → 185.130.226.210 オランダ



スマホはウイルス大丈夫?

ウイルス感染の攻撃ターゲットは Windows XP/Vista/7/8/10 パソコンのみです。

次の環境は動作しないファイル形式なので大丈夫ですよぅ。

 Mac OS X
 Android スマホ
 iOS (iPhone / iPad)
 ガラケー

感染被害を100%回避する無料ウイルス対策

当たり前というか、次のような理想論がある一方、不正なファイルを見抜けない Windows ユーザーさんは ”うっかり” 開く現実が…。

メールでやり取りすることはない .js ファイルを開くな!

そこで、誰にでもヒューマンエラーは起こすことを想定し、このウイルスメールの攻撃手口を100%確実に防ぐ強力な 無料ウイルス対策2つ をドゾ!


【1】 スクリプトファイルの無害化



【2】 ファイアウォールの活用

 (送信側・アウトバウンドで powershell.exe の通信ブロック)


後を追うこともあるセキュリティソフトにすべてを託さない♪

関連するブログ記事