楽天カードご請求予定金額ご案内迷惑メールはウイルス 感染手口の対策2つで防ぐ?

イメージ 1
Image いらすとや

スルーするのはかなり困難!

実在企業を勝手に名乗った日本語表記の 迷惑メール(スパムメール) が先月9月から不特定多数にバラ撒かれていて、「発行元 楽天カード株式会社」 をテーマにしたものが引き続き投入されてます。
件名 【楽天カード】ご請求予定金額のご案内
送信者 楽天カード株式会社 <info@mail.rakuten-card.co.jp>
━━━━━
   ご請求予定金額のご案内
━━━━━
いつも楽天カードをご利用いただきありがとうございます。
2017年10月分のご請求予定金額をご案内いたします。
カードご利用代金のお支払いは、毎月20日(金融機関が休業日の場合、翌営業日)
にご指定いただいております金融機関の口座より自動振替いたします。
{19日までに引落口座へのご準備をお願いいたします。
{26日までに引落口座へのご準備をお願いいたします。
━━━━━
◆◇◆ ご請求予定金額
━━━━━
【ご利用カード】  楽天カード
{【お支払い日】   2017/10/20
{【お支払い日】   2017/10/26
【お支払い方法】  口座振替
【ご請求口座】   大阪信用金庫
【ご請求予定金額】 [数字],[数字]円 (仮確定)
 ̄ ̄ ̄ ̄ ̄
当月のお支払い金額を今から18日まで調整OK!
詳細』を今すぐチェック! ⇒ 詳しくはこちら
─────
◆◇◆ ご注意事項
─────
※今月のお支払い方法が�口座振替�のお客様は、本メール、もしくはご利用代金
 請求明細書に表示している金融機関がご請求口座となります。
{※毎月10日時点でご登録が完了している金融機関が、ご請求口座となります。
{※毎月20日時点でご登録が完了している金融機関が、ご請求口座となります。
{※11日以降に登録が完了した場合は、翌月度以降のご請求口座となるため、
{※21日以降に登録が完了した場合は、翌月度以降のご請求口座となるため、
 最新の金融機関の登録状況とご請求口座が異なる場合があります。
※金融機関側の内容確認によって不備(印鑑のお間違いなど)が後日判明した
 場合には、本メールにご請求口座の表示があっても、お引き落としが
 できない場合がございます。
※お支払い日の口座振替結果が、金融機関より弊社へ情報が反映するまでに、
 通常約2~4営業日のお時間がかかります。
 口座振替結果の情報が入り次第、お客様のご利用可能額へ反映いたします。
※ご請求口座が�楽天銀行�で以下の場合は、口座振替の結果をお支払い日の
 当日中に反映しております。
{ [毎月20日の前営業日までにご請求金額を口座にご準備いただきかつ、20日
{ [毎月26日の前営業日までにご請求金額を口座にご準備いただきかつ、26日
 (金融機関が休業日の場合、翌営業日)にお引き落としが確認できた場合。]
※再振替サービスについては口座振替に関するお知らせをご確認ください。 ⇒ 詳しくはこちら
─────
WEB明細サービスに関する詳細はこちら
─────
━━━━━
{◆◇◆ 10月のお支払い金額調整が15日までOK!
{◆◇◆ 10月のお支払い金額調整が26日までOK!
━━━━━
ご利用明細を見てビックリ!
 ̄ ̄ ̄ ̄ ̄
今月のお支払い金額を調整したいなってことありますよね。
{ご請求金額の確定日<<15日>>まで、10月のお支払い金額の調整ができる
{ご請求金額の確定日<<26日>>まで、10月のお支払い金額の調整ができる
『後リボ』の手続きが可能です。
今月お支払い分を6日以降に『後リボ』すると翌月27日からリボ払いで
お支払い開始となるので、慌てず過ごすことができます♪
ショッピングご利用分なら、
月々5,000円~+包括信用購入あつせん手数料(リボ手数料)でOK!
  ▼
【手続きカンタン】今すぐ後リボへ変更!!
※ショッピングご利用分はリボ払い変更ご利用可能額を超過してリボ払いへ
の変更はご利用できません。
─────
◆お支払い金額の調整はシミュレーションを使えばカンタン&安心♪◆
─────
明細を選んで調整後のお支払い金額を確認してみよう!
※当月リボ払い変更可能明細が無い会員様には、シミュレーションは表示
されませんのであらかじめご了承ください。
※仮確定期間中に楽天e-NAVIの『リボ払いへ変更』をご利用された場合、
変更後の金額は即時に楽天e-NAVIに反映いたしますが、それ以外のご変更内容や
方法につきましては、翌日以降に楽天e-NAVIに反映いたします。
━━━━━
◆◇◆ 安心&便利な「カード利用お知らせメール」サービスにご登録を!
━━━━━
お客様が楽天カードを利用されると、最短で翌日に楽天カードから
ご利用内容をメールでお知らせするサービスです。
ご利用後、最短で翌日にお届けする『【速報版】カード利用お知らせメール』と、
ご利用内容を詳しくチェックできる『カード利用お知らせメール』で、
ご請求金額が確定する前にカードのご利用状況をいち早く確認することができます。
クレジットカードの不正利用にも早期発見につながるサービスとして、
ご登録を推奨しております。
○カード利用お知らせメールは「楽天e-NAVI」からご登録ください。
○カード利用お知らせメールの詳細
━━━━━
◆◇◆ 楽天カード会員様へのおすすめサービス
━━━━━
○楽天カードラッキーくじ 楽天スーパーポイントGetのチャンス!
○安心のセキュリティサービス『第2パスワード』!!
第2のログインパスワードを登録することができ、楽天e-NAVIがさらに安心に♪
━━━━━
◆◇◆ 住所変更手続きのお願い
━━━━━
お引越し等で住所が変わられた際には、当社宛にお早めに住所変更の届出を
お願いします。
お届けいただけない場合、当社からの重要なお知らせが届かない場合もあり
ますのでご注意ください。
楽天e-NAVIでご登録住所の確認・変更が可能です。
━━━━━
■このメールはMSゴシックなどの等幅フォントで最適にご覧いただけます。
{■このメールは2017年10月18日時点で
{■このメールは2017年10月24日時点で
 10月分のご請求金額がある会員様へお送りしております。
■弊社からのメールを希望されない会員様へも重要なお知らせとして
 配信しております。誠に勝手ながらこのお知らせメールの配信停止は
 いたしかねますので、何とぞご了承ください。
■弊社へ登録されている最新のメールアドレスへお送りしております。
■このメールアドレスは配信専用となっております。
 返信いただいても対応はいたしかねますのでご了承ください。
━━━━━
発行元  楽天カード株式会社
━━━━━
機械翻訳したような怪しい日本語の文章は皆無です。

企業から送信されてきても不自然ではない文量の多さ、実在する金融機関 「大阪信用金庫」 も登場したり相変わらずの完成度の高さが悪い方向に光っており、人間に読まれるチャンスもなく破棄されるゴミメールとは一線を画してます。

感染手口はスクリプトファイル

メールに添付ファイルは付いておらず、本文中の 「詳しくはこちら」 から 「楽天e-NAVIでご登録住所の確認・変更が可能です。」 まで計9ヶ所のリンクをポチッとクリックさせるのが攻撃者の狙いです。

手元で実際にリンクをクリックしてみると、zip形式の圧縮アーカイブがダウンロードでき、これを解凍・展開すると中から Windows の スクリプトファイル拡張子 .js)が確認できました。

イメージ 2
「料金明細をチェック.DOC.js
(jtwqgbbdj.DOC.js

この.jsファイルを Wndows パソコン上でポチポチッとダブルクリックして開くと、料金明細なぞ表示されず攻撃処理が発動です。

【不正なスクリプトファイル】
MD5ハッシュ bbb4a1cf83909d66d9dc04800f4bf677
www.virustotal.com/ja/file/ff78678dd7461ab31678b344b295d11c3aa796d8eb44f2af79a73fc47a0ba577/analysis/1508293180/

MD5ハッシュ b5c9b1e0a080605f13c52a25405a3054
www.virustotal.com/ja/file/ac7d0efeb3d688a3ebb939fe0604b094c7c4011dd65dd0040b496f9a03ee9c12/analysis/1508379340/

MD5ハッシュ acc9413fa8a436b4d02597b1cd636671
www.virustotal.com/ja/file/da7e0a82aae26615d61fe66011ad1d22c33abfe91780cdd8015a658e23e2bcf7/analysis/1508812047/

MD5ハッシュ ab0e8ea7483e4b1b9342bbf1eb182b27
www.virustotal.com/ja/file/9ad8439d7682bdd1f712f4afb09ad8db26d27a3eb72a92b30a71438ddeb6f8aa/analysis/1508992628/


ESET JS/TrojanDownloader.Agent.RAD PowerShell/TrojanDownloader.Agent.Q JS/TrojanDownloader.Nemucod.DTV
Kaspersky Trojan-Downloader.JS.Small.aba HEUR:Trojan.Script.Agent.gen  Trojan-Downloader.JS.Small.abc
Microsoft TrojanDownloader:JS/Nemucod
Symantec JS.Downloader
Trend Micro JS_NEMUCOD.SMQR JS_URSNIF.EJ JS_URSNIF.EK

【Ursnifウイルス】
MD5ハッシュ f89de5a083d248ef01847eb2beeb5fb5
www.virustotal.com/ja/file/61080c6ab60fcafac43516b4cc4a7449a9c4bf29cc21113cd87c0c2c177fb76e/analysis/1508295513/

MD5ハッシュ b8a0ae5192920d63a721319c3346844a
www.virustotal.com/ja/file/22ea24e569c5cf1e3d70cf9c9d57b258a4cc1f1d6960f9825643df516804adbb/analysis/1508390207/

MD5ハッシュ 9a538cad159d3fe8222cfdc28373e176
www.virustotal.com/ja/file/2fdf962e8750e8af32db86a93ba403064017dab72446c914932323e53c9d8ca4/analysis/1508814734/

MD5ハッシュ 6edecae6d6a3b3634b0102cc9ee48ee4
www.virustotal.com/ja/file/1681e7106205b285bb3959807f9d3134e9abd5283188f7162d6b9c018cd4743a/analysis/1508993006/

ESET Win32/Spy.Ursnif.AO
Kaspersky Trojan-Spy.Win32.Ursnif.ufy
Microsoft TrojanSpy:Win32/Ursnif  Trojan:Win32/Tiggre!rfn
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIQY TSPY_URSNIF.AUSIQZ TSPY_URSNIF.AUSIRC

Ursnifウイルス感染の瞬間

試しに.jsファイルを開いた直後の Windows のプロセスの様子を見てみると、システムにある正規プログラム powershell.exe を介して外部ネットワークに接続し、実行ファイル(拡張子 .exe)をダウンロードしてる症状が確認できました。

イメージ 3
185.183.96.105 は欧州オランダ?のサーバー

ネットバンキングなど不正送金被害に繋がるマルウェア Ursnif(読み方 アースニフ、別名Dreambot) に感染することが分かります。

効果的に感染を防ぐウイルス対策2つ

ウイルス感染手口が分かれば、「怪しいメールを開くな」 的なガンバって気合で乗り切る精神論ではない 100%感染防止方法 が編み出せます。 <有効なウイルス対策2つ

【1】 スクリプトファイルの無害化

攻撃者は スクリプトファイル(拡張子 .js/.jse/.vbs/.wsf) を開かせるのを狙っているから、関連付けの設定を変更しておくと不正なスクリプトファイルの攻撃を完全に無にできます。 <ホンの数分の作業で無料

【2】 ファイアウォールの活用

攻撃者は Ursnif ウイルスのダウンロード処理に powershell.exewscript.exe を使うので、ファイアウォールで通信ブロック対象に登録しておいて悪用されても大丈夫なようにしておきます。 <最初から実装されてる Windows ファイアウォールでも無料で対策できる


なお、Windows パソコン以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケーは攻撃対象外なので大丈夫です。
関連するブログ記事
最終更新日: 2017/10/26