迷惑メールUSPS Missed package deliveryでウイルス感染 配達通知装う対策は?

イメージ 2

実在する United States Postal Service(略称 USPS / アメリカ合衆国郵便公社) を勝手に名乗って成りすまし、不特定多数にバラ撒かれる英語表記の 迷惑メール(スパムメール) の紹介です。

迷惑メールに添付されてるファイルは、Windows PC を攻撃ターゲットにしてる コンピュータウイルス になります。

件名 USPS - Missed package delivery
We attempted to deliver your item at [数字] am on [数字], 2014.
The delivery attempt failed because nobody was present at the shipping address, so this notification has been automatically sent.
You may arrange redelivery by visiting the link below or pick up the item at the U.S. Post Office indicated on the receipt.
If the package is not scheduled for redelivery or picked up within 48 hours, it will be returned to the sender.
Label/Receipt Number: US[数字]
Class: Package Services
Service(s): Delivery Confirmation
Status: eNotification sent
Print this label to get this package at our post office.
Thank you,
2014 Copyright 2013 USPS. All Rights Reserved
件名 USPS - Fail to deliver your package
USPS Delivery Notification
Our company's courier couldn't make the delivery of package.
REASON: Postal code contains an error.
DELIVERY STATUS: Sort Order
SERVICE: One-day Shipping
NUMBER OF YOUR PARCEL: USPS[数字]
FEATURES: No
Label is enclosed to the letter.
Print a label and show it at your post office.
An additional information:
You can find the information about the procedure and conditions of parcels keeping in the nearest office.
Thank you for using our services.
USPS Global.

メールに記載されてる英文メッセージの日本語の意味は次のような感じ。

荷物を配達しようとしたものの、記載されてる住所が存在しなかったので通知した。48時間以内に再配達を依頼しないと、荷物は送り主に返送する。
添付してある配達伝票を印刷して、郵便局に持って来てください。
郵便番号が間違っていて配達できなかった。配達伝票を印刷して、郵便局に持って来てください。

配達通知が記載された伝票を印刷するよう指示することで、ユーザーに添付ファイルを確認させる巧妙に手口です。 <うまく自爆へ導く


添付ファイルはスクリーンセーバー!!!

添付ファイルは zip 形式の圧縮アーカイブでした。

圧縮されたままでは意味ないので、まずこれを手動で解凍・展開してみると、中から スクリーンセーバー用実行ファイル拡張子 .scr) が登場しました。

イメージ 1
ファイルの拡張子 に注目せよ!

【添付ファイルの種類】
US[英数字].zip
 ↓ 解凍・展開する

US[英数字].scr

このスクリーンセーバーをユーザーの意思において、ポチポチッとダブルクリックして開いたら感染アウトです。

 メールを受信したら即ウイルス感染?
 メールソフトのプレビュー機能で即ウイルス感染?
→ そんな攻撃手口はありえない!


■ 対策は? ファイルの拡張子に注目せよ

アイコン画像を見ると、Windows ユーザーさんを騙すため PDF 文書っぽく偽装してあるけど、見た目に惑わされないようにしないといけません。

重要なこと2点。


このファイルの正体は、セキュリティ会社がいうところのウイルス検出名 Upatre というダウンローダー型トロイの木馬になります。

その役目としては、何かしら別のマルウェアをコッソリとダウンロードしてきて起動して Windows PC に感染させることを担ってます。

  • PWS:Win32/Zbot
    ネットバンキング不正送金ウイルス

  • Ransom:Win32/Crowti (CryptoWall)
    PC 内に保管されてる文書・画像ファイルを暗号化して破壊し、元に戻す復号を盾に身代金をビットコインで支払うよう要求するウイルス、いわゆる ランサムウェア

  • PWS:Win32/Dyzap (Dyre、Dyreza)
    ネットバンキング不正送金ウイルス

スクリーンセーバー、これは実行ファイルに等しいので、コレを Windows PC 上でゼッタイに起動してはなりません。


ファイアウォールの活用は有効

ただ、”うっかり” 踏み抜くヒューマンエラーを想定するなら、Windows ユーザーさんが外部通信(アウトバウンド、送信側)を制御できる ファイアウォール の活用が、ウイルス対策として有効です。

外部通信が制御できてない例:

  • 市販セキュリティソフト の中で、ファイアウォールの機能をサポートしてないウイルス対策ソフト (例、Norton Antivirus、Kaspersky Anti-Virus、ESET NDO32 Antivirus など)

  • ファイアウォールが実装されてない 無料ウイルス対策ソフト

  • 外部通信(アウトバウンド、送信側)が無効になってる Windows Firewall


関連するブログ記事

米Amazon.com名乗るウイルス付き迷惑メールOrder Details
eFax名乗る偽メール ウイルス配布サイトへ誘導eFax message from
Scanned Image from a Xerox WorkCentreウイルス付き迷惑メール
ウイルス付き迷惑メールRingCentral New Fax Message on
ウイルス付き迷惑メールYou have a new Secure Message Payment Overdue
ADP Payroll Invoiceとは? スパムメールでウイルスファイル添付で危険
ウイルス付き迷惑メールCorporate eFax message from
ウイルスメールYou have received a voice mail WAV音声ファイル
ウイルスメールYou have received a new fax アイコンをPDF文章に偽装