最終更新日 2018年12月13日

【楽天市場】注文内容ご確認自動配信メールはウイルス 対策2つで感染防ぐ?

イメージ 1

詐欺メールが激しく巧妙すぎ!

ショッピングモール 楽天市場 内に実在する通販ストアを勝手に名乗った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

イメージ 2
楽天市場「注文内容ご確認」装うメール実例

件名 【楽天市場】注文内容ご確認(自動配信メール)
送信者 楽天市場 <order@rakuten.co.jp> <rakuten_order@applecustomer.*.com> <rakuten_order@appleonlinesupport.*.com> <rakuten_order@secureonline.*.com> <rakuten_order@supportapple.*.com> <rakuten_order@applesupport.*.com> <rakuten_order@applecare.*.com> <rakuten_order@supportappleonline.*.com>
環境 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.2.0

ご注文ありがとうございます
Rakuten
楽天カード入会で5,000ポイント
買い物かご 購入履歴 ヘルプ
この度は楽天市場内のショップ「{クレールオンラインショップ{ぎおん (株)ヤサカ電気{TRYX3(トライスリー)楽天市場店{デンキヤ2ンラインショップ{ウルトラぎおん楽天市場店{マサニ電気株式会社 楽天市場店{Akindoオンラインショップ{株式会社MOA{Ease Space-イーズスペース-」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。(in English) 無題な濃いログ
ご注文内容
注文番号 {231963-20180106-00134809{[数字]-20180416-[数字]{[数字]-20180423-[数字]{[数字]-20180508-[数字]{[数字]-20180509-[数字]{[数字]-20180606-[数字]{注文番号 [数字]-20180607-[数字]{注文番号 [数字]-20181211-[数字]{[数字]-20181212-[数字]
注文日時 {2018-01-06{2018-04-11{2018-04-18{2018-04-19{2018-04-23{2018-04-24{2018-04-25{2018-05-08{2018-05-09{2018-05-11{2018-06-06{2018-06-07{2018-12-10{2018-12-12 [数字]:[数字]:[数字]
お問い合わせ先
クレールオンラインショップぎおん (株)ヤサカ電気TRYX3(トライスリー)楽天市場店デンキヤ2ンラインショップウルトラぎおん楽天市場店マサニ電気株式会社 楽天市場店Akindoオンラインショップ株式会社MOAEase Space-イーズスペース-
052-[数字]-[数字]
問い合わせフォームから連絡
※下記内容については、上記の問い合わせ先より直接ショップにお問い合せください。
・商品やお取引に関するご不明点
・ご注文内容の変更(商品、決済・配送方法など)
・ご注文のキャンセル手続き
※ショップの情報・返品ポリシー・営業時間はこちら
※その他ご不明点がある場合は楽天市場のヘルプページをご確認ください。
40V型 ハイビジョン LED液晶テレビ USB外付けHDD録画対応 地上・BS・110度CS J40SK03 メーカー1000日保証 マクスゼン maxzen【送料無料】【KK9N0D18P】
ROOMに投稿する
39,800円 x 1個 = 39,800円 (税込、送料無料)
小計  39,800円
送料  0円
合計 39,800円
※送料等の諸費用は変わる場合があります
{今回のお買い物で、56ポイントを獲得しました{今回のお買い物で、388ポイントを獲得しました
・スーパーポイントアッププログラムに関するご注意 詳細について
 - 月間獲得ポイントの上限に達している場合は、実際に獲得するポイントが表示と異なる場合がございます。無題な濃いログ
 - スーパーポイントアッププログラム分の特典は、後日付与されます。特典により付与日が異なります。
詳細
送付先 〒871-0022 大分県中津市相原3553-[数字] 0979-[数字]-[数字]
支払方法 クレジットカード決済  一括払い
配送方法 宅配便
配送日時指定 翌日配達「あす楽」を希望
備考 領収書をご希望のお客様は下記に「領収書」とご記載ください。
注文情報の詳細を確認する
ショップのメルマガに申し込む
お気に入りショップに登録
ご注意事項
・離島・一部地域では別途送料が必要な場合があります。
・消費税について
消費税率 8%
 消費税計算順序 1商品毎に消費税計算
 1円未満消費税端数 切り捨て
・お客様のお取引先は「{クレールオンラインショップ{ぎおん (株)ヤサカ電気{TRYX3(トライスリー)楽天市場店{デンキヤ2ンラインショップ{ウルトラぎおん楽天市場店{マサニ電気株式会社 楽天市場店{Akindoオンラインショップ{株式会社MOA{Ease Space-イーズスペース-」となりますので、ご不明な点、ご注文内容に誤りがある場合は、
直接ショップまでお問い合わせください。無題な濃いログ
・後日計算の送料等により、「全てのポイントを使う」を選択の場合でもお支払いの差額が生じる場合が
あります。
・楽天会員を利用したご注文の場合、キャンペーン特典ポイントが本メール記載の獲得ポイントとは別に計算、
付与される場合があります。ポイント利用・獲得履歴はこちら
 ・楽天市場ご利用上のご注意はこちら
・個人情報の取り扱いについては個人情報保護方針をご覧ください。
・よくある質問はこちら
・こちらの注文に覚えがない場合は、他の方が誤ってあなたのメールアドレスで注文した可能性があります。無題な濃いログ
その場合は、大変お手数ですが、上記ショップならびに楽天市場までお知らせください。
(English)Thank you for shopping at Rakuten. This e-mail is automatically generated in response to your order.
Please note that your order is not complete until confirmed by the seller.
To modify your order (item, payment, delivery, etc.), please contact the seller directly.
As this is an automated e-mail, please do not respond directly to this address.
Click here for Frequently Asked Questions.
楽天市場
発行元:楽天株式会社


詐欺メールの特徴は?

  • メール送信者が楽天市場に偽装されてる

  • 本物の Rakuten のロゴマークを悪用してる

  • 日本語の文章の不自然さがほぼ皆無で高い完成度

パッと見の判断では怪しいところに気づないものの、メール本文中には楽天市場の URL ではない、不正なリンクが20ヶ所ほど用意されてます。

見の覚えのない商品をクレジットカード決済で購入という 「【楽天市場】注文内容ご確認(自動配信メール)」 でユーザーを動揺させて、このリンクをうっかりポチッとクリックしてもらう…、詐欺メールを仕掛けた攻撃者の最初の狙いです。


迷惑メールに登場する通販ストア名の例

Yahoo!知恵袋には、メールが完成度が高すぎるが故に、本物の 「間違いメール」 と思い込んで抗議しようとする勘違いユーザーさんの投稿もありました。

イメージ 8
成りすまされた楽天ストアは可哀想すぎる…

【楽天市場】注文内容ご確認(自動配信メール)」 メール内に登場する楽天株式会社や楽天市場の通販ストア名は、名前を騙られた成りすまし被害者 です。

  • クレールオンラインショップ
  • ぎおん (株)ヤサカ電気
  • TRYX3(トライスリー)楽天市場店
  • デンキヤ2ンラインショップ
  • ウルトラぎおん楽天市場店
  • マサニ電気株式会社 楽天市場店
  • Akindoオンラインショップ
  • 株式会社MOA
  • Ease Space-イーズスペース-
  • ~FireflyFarmer

誘導先は楽天フィッシングサイト?

楽天市場に偽装した詐欺メールから誘導先はどうなってる?

手元で実際にリンクを踏んでアクセスしてみると、次のように楽天市場のログイン画面に外観デザインが完璧に偽装されてる不正なページでした。

イメージ 3
「【楽天】ログイン」

ここには楽天会員ログインとして、ユーザーIDとパスワードの入力欄が用意されてあり、送信したアカウント情報を悪意のある第三者が盗む フィッシングサイト と分かります。

ブラウザのアドレスバーを見ることで、このフィッシングサイトの URL が正規の楽天市場 rakuten.ne.jp ではないことが明らかです。

ただ、メールの内容を真に受けて焦ってるユーザーさんは、もはや周りが見えなくなってるはずで異変に気づけないパターンです。


真の狙いはファイルのダウンロード

テキト~にデタラメ情報(実際には何も入力せず空っぽでも先へ進める)を入力して [ログイン] ボタンをポチッと押すと?

画面左側のところに変化があり、そこには 「あなたのアカウントに異常な動きが検知~」 なる案内が表示されました。

イメージ 4
「【楽天】ログイン」

あなたのアカウントに異常な動きが検知されました。 セキュリティのため、アカウントをロックしましたので、詳細情報をクリックしてアカウントを確認してください。無題な濃いログ [詳細情報]

ここで誘導されるように [詳細情報] ボタンをポチッと押すと、zip形式の圧縮アーカイブ 「もっと詳しくの情報はこちら.zip」 なるファイルをダウンロードするよう促されました。

イメージ 5
ファイルのダウンロード通知

手動でダウンロードしてきたこの圧縮ファイルを解凍・展開すると、中身はこんな感じで Windows の スクリプトファイル拡張子 .js) が1つ入ってるのでした。

イメージ 6
ダウンロードしたファイルの中身
もっと詳しくの情報はこちら.PDF.js

詐欺メールの内容にいちおう合わせて、ユーザーにPDF文書と誤認させようとしてることが分かる 二重拡張子「~.PDF.js」 が施されてます。

なお、このファイルの動作環境は Windows のみで、それ以外の環境 Mac OS X、Androidスマホ、iPhone/iPad、ガラケー らへんは影響せず大丈夫です。


ネットバンキングウイルスに感染

この.jsファイルを Windows パソコン上でポチポチッとダブルクリックして起動すると攻撃処理の発動です。

手元で実際に.jsファイルを開いた直後の Windows のプロセスの様子がコチラ♪

イメージ 7
jsファイルを開いた直後のプロセスの様子

その処理内容は Windows PowerShell(powershell.exe) を介して外部ネットワークに接続を試み、Windows 向け実行ファイル(拡張子 .exe)をダウンロードしてきてシレッと起動してます。

このダウンロードされてきた実行ファイルの正体は Ursnif(読み方 アースニフ) とか Dreambot(読み方 ドリームボット) と呼ばれてるマルウェアになります。

この Ursnif・Dreambot ウイルス は、2016年あたりから日本国内でネットバンキング不正送金被害が発生してるとして ニュースでも名指し されてる脅威です。


攻撃の流れのまとめ

【楽天市場】注文内容ご確認(自動配信メール) メールによる攻撃の流れをまとめると?

巧妙な迷惑メールを起点にして、フィッシング詐欺+ウイルス配信の2段構え、あるいはフィッシング詐欺の場面なくウイルス感染一本のパターンになります。

【攻撃の流れ パターン1】
迷惑メールの受信
 ↓ 本文のリンクをクリック

楽天市場の偽ログインページ
 ↓ 楽天会員アカウントの送信、ファイルのダウンロード

「もっと詳しくの情報はこちら.zip」
 ↓ アーカイブの解凍・展開

「もっと詳しくの情報はこちら.PDF.js」「qlqfzrwvjxvjx.PDF.js
 ↓ ファイルをダブルクリックして開く

ウイルス感染アウト~

【攻撃の流れ パターン2】
迷惑メールの受信
 ↓ 本文のリンクをクリック

「もっと詳しくの情報はこちら.zip」
「楽天銀行の重要な情報.zip」
「注文内容ご確認.zip」
  ↓ アーカイブの解凍・展開

「もっと詳しくの情報はこちら.PDF.js」「qlqfzrwvjxvjx.PDF.js
「楽天銀行の重要な情報.PDF.js」「rxmawpxsvj.PDF.js
「楽天銀行重要な情報.pdf.js」「rxmapxsvj.pdf.js
「注文内容ご確認.js」「irrdwsf.js
「注文内容ご確認」 ※ ショートカット
 ↓ ファイルをダブルクリックして開く

ウイルス感染アウト~

【攻撃の流れ パターン3】
迷惑メールの受信
 ↓ 本文のリンクをクリック

「もっと詳しくの情報はこちら.pdf.js
「もっと詳しくの情報はこちら.pdf..js
「楽天銀行の重要な情報.pdf.js
「注文内容ご確認.PDF.js
 ↓ ファイルを開く

ウイルス感染アウト~

何だかんだ Windows ユーザーさんが手動で複数の作業をズンズン進めなくては、ウイルス感染には至りません。

たとえば、ウイルス感染直前に Windows のセキュリティ警告ウィンドウが表示された場合、指摘する危険性を完全無視して [開く] ボタンを押す必要があります。

イメージ 9
このファイルを開きますか? 不明な発行元

次のようなウイルス即感染といった脅威では決してないのでご安心を。

× 楽天市場を騙る詐欺メールを開くだけでウイルス感染?
× メールソフトのプレビューによりウイルス感染?
× 本文中のリンクをクリックしたらウイルス感染?

感染被害を回避するウイルス対策は?

怪しいメールを開くな!』  なんて精神論を目にするけど、メール攻撃者はそれが実現困難となる戦略を投入してます。


フィッシングメールとしての対策 (Windows、Mac、スマホ)

フィッシング詐欺の対策は、とにかくメールに振り回されないことです。

とても簡単で安全な対処方法があり、ブラウザから楽天市場の公式サイトに直接アクセスして購入履歴を確認することを徹底しましょう。 <ブラウザのブックマークや検索エンジン経由からでも OK

楽天メールが本物か偽物かいちいち見分ける作業なぞ 時間のムダ です。


ウイルスメールとしての対策 (Windows のみ)

ネットバンキングウイルスは、攻撃者の仕掛ける感染手口に沿って 100%確実に攻撃失敗となる Windows 向けウイルス対策2つ で最強です。


【1】 スクリプトファイルの無害化

ウイルスメール攻撃者は スクリプトファイル(拡張子 .js/.jse/.vbs/.wsf) を開いてもらおうとしてます。

そこで、ファイルの関連付けを変更しておくと、不正なスクリプトファイルを使ったウイルス感染手口はサッパリ通用しません。 <Windows の設定を変更するだけで 無料



【2】 ファイアウォールの活用

ウイルスメール攻撃者は、マルウェアのダウンロード処理に正規プログラム powershell.exewscript.exe を悪用してきます。

悪用する理由は、マイクロソフト由来のプログラムであるが故に、セキュリティ製品からスリ抜けるためです。

そこで、ファイアウォールを使って外部通信をあらかじめブロックしておくと、攻撃者の意図した通りの処理が行われず、とても安心です。 <Windows に標準で実装されてる Windows ファイアウォールで対策できる


セキュリティトピックス

投入されてるスクリプトファイル、感染する Ursnif の実行ファイルの詳細です。

【スクリプトファイル】
1b553dd01aac5a7e53b96052a5bcb18b
www.virustotal.com/ja/file/0542e182667459b2cd637da6906f15d29751f28080d8556c31bc46a23c15ba1b/analysis/1521702178/

6cb2e954864f4b661de5aa07f04b1e80
www.virustotal.com/ja/file/d696653da07d270fa8471eac5e3f2a09a00dc22eb6d090b889aba5fd209900c3/analysis/1523427150/

c532c13dc3c433bb823ba6c67008c220
www.virustotal.com/ja/file/100e92ad6433515f29c12a783fa52c8017e8335aa3cce4f3697f535237e46dd1/analysis/1523543338/

a49d809767d89a971094f6eb9576572a
www.virustotal.com/ja/file/c85ee3804c003889e7e427381f6b6d4ac1a301b3fb63d5bfec3a363a0a42e1e6/analysis/1524119268/

8222ca23421b3318be9b829aac05df27
www.virustotal.com/ja/file/c182dc688a6b836d3fdfa4d590d443351efba1f265519924e959d63da0a6ca7c/analysis/1524207301/

3a72aaba026d02ce7950ba8f1f0ee60b
www.virustotal.com/ja/file/77a23e8d53b10f6f586ad77cb8b4f277e7bd6263f6ed51926f5c6f853c3bc7e2/analysis/1524549863/

572d3c2dc209c79a0827ec64fdb9c483
www.virustotal.com/ja/file/de32d78a9434a694e2a7836523d00682d0e8c3004a46e44ebb32df5cebf11f1b/analysis/1524636497/

13e21bcbaa88020a3d589ff4f4971544
www.virustotal.com/ja/file/5cb103c86193c8cd28526fd6483e30ffa39cef203f7b49d89a70c622a4307a81/analysis/1525760262/

c3c71bd2b06b4c259edaf74f5cbc5b03
www.virustotal.com/ja/file/544200d337279c8a01005a8b14aa8d45086e6c763f779d4dcc3cc3fb0ccd2430/analysis/1525844636/

ff466860ad7f4038006befb20c550a4a
www.virustotal.com/ja/file/5202ad774d9f0dab852a75cdd39b206fe7f4fe586a140f55885602b79548f991/analysis/1526019506/


ESET PowerShell/TrojanDownloader.Agent JS/TrojanDownloader.Agent
Kaspersky HEUR:Trojan.Script.Agent.gen
Microsoft Trojan:Win32/Vigorf.A TrojanDownloader:JS/Nemucod Trojan:Script/Cloxer.A!cl
Symantec ISB.Downloader!gen48 JS.Downloader
Trend Micro JS_NEMUCOD.ELDSAUXG JS_URSNIF.TIBOAK JS_DLOADR.AUSUIU JS_POWLOAD.ELDSAUIV JS_POWLOAD.ELDSAUIY JS_URSNIF.TIBOAM JS_NEMUCOD.ELDSAUYC JS_POWLOAD.ELDSAUJB

【実行ファイル】
ce7654fa57ea626784e0ec47fcb51611
www.virustotal.com/ja/file/7453d3f2d26a0676923b1e48875db426e1b6bb821d66b04c3d22752fdb87a87f/analysis/1521702508/

b3760ba774d36098682cfa3f66fe4c68
www.virustotal.com/ja/file/6f04345d7be6fead1d01b6fed4a0aa8990a4b139a85068a5eb0f349638848cef/analysis/1523428670/

f62fab450795aa6406d6ff3deece5b3b
www.virustotal.com/ja/file/4bc0433608ad7e5eb1d8efd93e12f25a26446ebeed68da7cb4301c7e9395f143/analysis/1523489902/

289fd556f97b8a2cbe66dd7b3a61fec3
www.virustotal.com/ja/file/68b02ba4ed79d5e12e147f66144d4fcbdcc317e05d75a6a11b05e3270a950938/analysis/1523544564/

da334d84a8288bc93d5b9f49f7482377
www.virustotal.com/ja/file/1d72853f609faac25623dec01b1e66dbb6f281147cc0e757e387bb9df3251c49/analysis/1524119386/

c942cf5d8eedf1848d0bedf331992728
www.virustotal.com/ja/file/1d78d54fabb98eefe957f97d16e33239fdc65f3db14a4c545bc10219db56bb89/analysis/1524206383/

95ccc45dffe1645be66165deb30ba2c4
www.virustotal.com/ja/file/d4bd7742f2479f1ee456db9ece8f617149fdc46ef6bf5245d3be3b9ebbd3923f/analysis/1524550754/

6e73af1ec48ae914337d997c75c62a16
www.virustotal.com/ja/file/ed5916e06a8db3b644412ac816417e2be3757a340456247e96cc55b155e390b3/analysis/1524637208/

64a0c5ad728671e35469ce61fb855ff3
www.virustotal.com/ja/file/c295c3dd6fa390805210f0117ee80f2912a5b097ede5f94d58c67e355b7e943a/analysis/1525759390/

5c830afdd11636e6f1d832e05579a3b3
www.virustotal.com/ja/file/68766bc7b41f44c239c96ff42a09125f668b8e94dcd8a2c48db06496ac7eb03b/analysis/1525846091/

0ceee3ce1679e892a20aeba2258a928c
www.virustotal.com/ja/file/20b4184c27c3f6ac557fbd8c3750ee6c8581d464d118353a4ce9405d104cfb5f/analysis/1526021678/

ESET Win32/GenKryptik Win32/Kryptik Win32/Spy.Ursnif
Kaspersky UDS:DangerousObject.Multi.Generic Trojan-Spy.Win32.Ursnif
Microsoft Trojan:Win32/Ursnif
Symantec Trojan Horse Trojan.Gen.2
Trend Micro TSPY_URSNIF.TIBAIAZ TSPY_URSNIF.TIBAIBP TSPY_URSNIF.TIBAIBR TSPY_URSNIF.TIBAIBU TSPY_URSNIF.TIBAIBW TSPY_URSNIF.TIBAIBX TSPY_URSNIF.TIBAICA TSPY_URSNIF.TIBAICB TSPY_BANKER.TICBBCAT

関連するブログ記事