最終更新日 2017年2月1日
Adobe BillingからInvoice迷惑メール? ウイルス感染事例3つの攻撃手口
Photoshop や Flash で知られる米ソフトウェア開発会社 アドビ・システムズ を勝手に名乗った英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
<危険な偽メール


Adobe のロゴマークも見えてもっともらしい偽メール
件名 Adobe Invoice / Adobe Creative Cloud Invoice - Payment Due
送信者 Adobe Billing
Dear Customer,
Thank you for signing up for Adobe Creative Cloud Service.
Attached is your copy of the invoice.
Thank you for your purchase.
Thank you,
The Adobe Team
Adobe Creative Cloud Service
Adobe and the Adobe logo are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. All other trademarks are the property of their respective owners.
© 2014 Adobe Systems Incorporated. All rights reserved
英語の意味を簡単に翻訳すると 『Adobe クリエイティブクラウドサービスに登録してくれてありがとうございます。請求書のコピーを添付しました。』 となりますな。
Invoice(インボイス、請求書) という名目で、次のような添付ファイルを確認するよう誘惑する手口となります。 

- 実行ファイル .exe
- Officeファイル (マクロ)
- スクリプトファイル
■ アドビ・システムズも偽メールに注意を促す

twitter.com/adobesupportj/status/520403984150847488
巷では 『怪しいメールを開くな!』 と言われます。
ただ、メール攻撃者がその壁を突破する策略として、実在する企業に成りすましたり、もっともらしい請求書を装うことで、”怪しい” ながらも無視できない状況を創り出します。
現実はなかなか厳しいです。 

1. 怪しいファイルを開くとウイルス感染



違和感のあるアイコンを持つ実行ファイル
攻撃ターゲットは Windows パソコンを使うユーザーさんとなり、マルウェアの自爆感染 を企んだ攻撃と判断できます。
【メール添付ファイル例】
invoice.zip
↓ 展開・解凍
invoice.exe
ファイルの形式(拡張子)に注意を払うウイルス対策 がモノ凄く大事と分かります。
■ スマホはウイルス大丈夫?
このファイル形式は Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境では動かないので、Windows 以外は安心大丈夫です。 



■ セキュリティソフト対応は…
おすすめセキュリティソフト たちのウイルス定義データは、後追い対応で後手に回る こともザラです。
> www.virustotal.com/ja/file/3bf623c2e5dadb2ec0bafc313eee7c52019ec7105a8ad7b645d9f341108c615b/analysis/1413870588/
> www.virustotal.com/ja/file/5ae5e6542a90dda07eb2494f07636d86da4853a1ccbde042b24a94e2684d59c4/analysis/1415473275/
> www.virustotal.com/ja/file/a3257da4748533d5974ea659ae5071ed5e579f657a126a15b6029d2f08e0b594/analysis/1414520092/
> www.virustotal.com/ja/file/3bf623c2e5dadb2ec0bafc313eee7c52019ec7105a8ad7b645d9f341108c615b/analysis/1413870588/
> www.virustotal.com/ja/file/5ae5e6542a90dda07eb2494f07636d86da4853a1ccbde042b24a94e2684d59c4/analysis/1415473275/
> www.virustotal.com/ja/file/a3257da4748533d5974ea659ae5071ed5e579f657a126a15b6029d2f08e0b594/analysis/1414520092/
つまり、迷惑メールを受信した直後のファイルスキャンで、タイミング悪いと脅威と判定しない恐れがあります。
<ウイルス攻撃者側も遊びでない徹底対抗!

2. Word ファイルを開かせるマクロウイルス
コチラでは現物を確認してないけど、Microsoft Office のVBAマクロを悪用する不正な Word ファイル(拡張子 .doc) を添付してくるパターンもあるみたい。

【添付ファイル例】
Adobe Invoice.doc
Adobe Invoices 2014.doc
invoice.doc
> www.virustotal.com/ja/file/55f06751b22dd5c17bcce7ab9e9da59dcabd3840ab089fe8b800c8aebbf1f3f5/analysis/1412219873/
Windows ユーザーさんが Office ファイルをうっかり開き、さらに VBAマクロの動作を許可(コンテンツの有効化ボタンを押す) するとヤバい!
3. スクリプトファイルを開かせる手口
メールに添付ファイルは付いておらず、本文中に誘導リンクが記載されてあるだけのパターンも確認してます。
この場合、URL をクリックすると、zip形式の圧縮アーカイブがダウンロードされてくる形で、その中身は 「JavaScriptファイル」「JScript Script ファイル」 という Windows スクリプトです。
【ダウンロードファイル例】
invoice.zip
↓ 展開・解凍
Adobe Invoice-[数字].js
> www.virustotal.com/en/file/c5580e60fb7040240f819ce96e25538d8f0418acc9c55460bfab93f32a3c1e5a/analysis/1487796425/
このスクリプトファイルは、セキュリティソフトのファイルスキャンでスリ抜ける危険性があります。