最終更新日 2017年2月1日

Adobe BillingからInvoice迷惑メール? ウイルス感染事例3つの攻撃手口

イメージ 6

Photoshop や Flash で知られる米ソフトウェア開発会社 アドビ・システムズ を勝手に名乗った英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。 <危険な偽メール

イメージ 2
Adobe のロゴマークも見えてもっともらしい偽メール

件名 Adobe Invoice / Adobe Creative Cloud Invoice - Payment Due
送信者 Adobe Billing

Dear Customer,
Thank you for signing up for Adobe Creative Cloud Service.
Attached is your copy of the invoice.
Thank you for your purchase.
Thank you,
The Adobe Team
Adobe Creative Cloud Service
Adobe and the Adobe logo are either registered trademarks or trademarks of Adobe Systems Incorporated in the United States and/or other countries. All other trademarks are the property of their respective owners.
© 2014 Adobe Systems Incorporated. All rights reserved

英語の意味を簡単に翻訳すると 『Adobe クリエイティブクラウドサービスに登録してくれてありがとうございます。請求書のコピーを添付しました。』 となりますな。

Invoice(インボイス、請求書) という名目で、次のような添付ファイルを確認するよう誘惑する手口となります。

  1. 実行ファイル .exe

  2. Officeファイル (マクロ)

  3. スクリプトファイル


アドビ・システムズも偽メールに注意を促す

イメージ 5
twitter.com/adobesupportj/status/520403984150847488

巷では 『怪しいメールを開くな!』 と言われます。

ただ、メール攻撃者がその壁を突破する策略として、実在する企業に成りすましたり、もっともらしい請求書を装うことで、”怪しい” ながらも無視できない状況を創り出します。

現実はなかなか厳しいです。

1. 怪しいファイルを開くとウイルス感染


これを手元で展開・解凍してみると、中身は次のように Windows向け実行ファイル拡張子 .exe) なのでした。

イメージ 3

イメージ 4

イメージ 1
違和感のあるアイコンを持つ実行ファイル

攻撃ターゲットは Windows パソコンを使うユーザーさんとなり、マルウェアの自爆感染 を企んだ攻撃と判断できます。

【メール添付ファイル例】
invoice.zip
 ↓ 展開・解凍

invoice.exe




スマホはウイルス大丈夫?

このファイル形式は Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境では動かないので、Windows 以外は安心大丈夫です。


セキュリティソフト対応は…

おすすめセキュリティソフト たちのウイルス定義データは、後追い対応で後手に回る こともザラです。

> www.virustotal.com/ja/file/3bf623c2e5dadb2ec0bafc313eee7c52019ec7105a8ad7b645d9f341108c615b/analysis/1413870588/
> www.virustotal.com/ja/file/5ae5e6542a90dda07eb2494f07636d86da4853a1ccbde042b24a94e2684d59c4/analysis/1415473275/
> www.virustotal.com/ja/file/a3257da4748533d5974ea659ae5071ed5e579f657a126a15b6029d2f08e0b594/analysis/1414520092/

つまり、迷惑メールを受信した直後のファイルスキャンで、タイミング悪いと脅威と判定しない恐れがあります。 <ウイルス攻撃者側も遊びでない徹底対抗!

2. Word ファイルを開かせるマクロウイルス

コチラでは現物を確認してないけど、Microsoft Office のVBAマクロを悪用する不正な Word ファイル拡張子 .doc) を添付してくるパターンもあるみたい。

【添付ファイル例】
Adobe Invoice.doc
Adobe Invoices 2014.doc
invoice.doc

> www.virustotal.com/ja/file/55f06751b22dd5c17bcce7ab9e9da59dcabd3840ab089fe8b800c8aebbf1f3f5/analysis/1412219873/

Windows ユーザーさんが Office ファイルをうっかり開き、さらに VBAマクロの動作を許可(コンテンツの有効化ボタンを押す) するとヤバい!

そこで、この感染攻撃を100%確実に失敗させる 無料マクロウイルス対策で.doc/.docm/.xlsファイルの無害化 がオススメです。

3. スクリプトファイルを開かせる手口

メールに添付ファイルは付いておらず、本文中に誘導リンクが記載されてあるだけのパターンも確認してます。

この場合、URL をクリックすると、zip形式の圧縮アーカイブがダウンロードされてくる形で、その中身は 「JavaScriptファイル」「JScript Script ファイル」 という Windows スクリプトです。

【ダウンロードファイル例】
invoice.zip
 ↓ 展開・解凍

Adobe Invoice-[数字].js

> www.virustotal.com/en/file/c5580e60fb7040240f819ce96e25538d8f0418acc9c55460bfab93f32a3c1e5a/analysis/1487796425/

このスクリプトファイルは、セキュリティソフトのファイルスキャンでスリ抜ける危険性があります。

そこで、Windows ユーザーさんがうっかりスクリプトファイルを開いても、感染攻撃は100%確実に失敗する 無料ウイルス対策で.js/.vbs/.wsfファイルの無害化 をオススメしますよ。

関連するブログ記事