【画像】Scanned image document迷惑メールでウイルス感染実例手口を知り対策を : 無題なログ

【画像】Scanned image document迷惑メールでウイルス感染実例手口を知り対策を

Image いらすとや

日本の家電メーカー シャープ が販売してる コピー複合機 からの送信を装った英語表記の不審な 迷惑メール（スパムメール） が不特定多数に配信されてます。

ウイルスメール実例

件名 Scanned document from MX-4100N
Reply to: “MX-4100N”
Device Name: Not Set
Device Model: MX-4100N
Location: Not Set
File Format: XLS MMR(G4)
Resolution: 200dpi x 200dpi
Attached file is scanned document in XLS format.

件名 Scanned image from MX2310U@[メールアドレスの一部]
Reply to: office@[メールアドレスの一部]
Device Name: MX2310U@[メールアドレスの一部]
Device Model: MX-2310U
Location: Reception
File Format: PDF MMR(G4)
Resolution: 200dpi x 200dpi
Attached file is scanned image in PDF format(RAR archive).

件名 Scanned image from MX-2600N
Reply to: noreply＠[メールアドレスの一部]
Device Name: Not Set
Device Model: MX-2600N
Location: Not Set
｛File Format: DOC MMR(G4)
｛File Format: Adobe Acrobat Reader
Resolution: 200dpi x 200dpi
Attached file is scanned image in DOC format.
Use Microsoft(R)Word(R) of Microsoft Systems Incorporated
to view the document.

このメールは紙の文書や写真をスキャンしてPDFファイルやOfficeファイルに変換したことを通知するデータ受信の名目になっていて、身に覚えがなくても目に留まってしまう仕掛けです。

なお、件名や本文に登場する型番「MX-4100N」「MX-2310U」「MX-2600N」はシャープが実際に販売してる複合機です。

・ 複合機からの送信を装った不審なメールについて｜シャープ
http://www.sharp.co.jp/business/print/information/info_security_2015-12.html

Officeファイルやzip形式の圧縮アーカイブ

このメールには添付ファイルが付いていて、スキャンデータでも何でもない嘘の名目の Officeファイルでした。

単なるエクセルファイルにしか見えず拡張子 .xls

マクロ入りワードファウル拡張子 .docm

【Excelファイル - 拡張子 .xls】
mx-4100n＠[メールアドレスの一部]_20151210_141946.xls

【Wordファイル - 拡張子 .doc .docm】
20170410_[数字].docm
20170927_[数字].doc
noreply＠[メールアドレスの一部]_20170731_142671.doc

この正体は Microsoft Office に実装されてるマクロ機能を悪用して悪意のある動作を行う マクロウイルス と呼ばれるブツです。

■ スクリプトファイルやPDFファイルも

他に、圧縮アーカイブ（.zip / .rar / .7z）が添付されていて、解凍・展開すると スクリプトファイル（拡張子 .js / .jse / .vbs / .wsf）のパターンを確認してます。

スクリプトウイルス Nemucod

また、PDF文書が添付されてるウイルス感染手口も確認してます。

いずれにしても、Windows XP/Vista/7/8/10 パソコン上で動作するファイルなので、それ以外の環境 Mac OS X、Androidスマホ、iOS（iPhone/iPad）、ガラケーは影響せず大丈夫です。

ウイルスから別のマルウェア感染

不正なOfficeファイル、スクリプトファイル、PDFファイルの機能的な役割は、次のマルウェアをシレッとダウンロードしてきて感染させることです。

~~ランサムウェア~~ ~~TeslaCrypt~~
ランサムウェア Locky
ランサムウェア CRBR Encryptor / Cerber Ransomware
ランサムウェア GlobeImposter
ネットバンキングウイルス Dridex
ネットバンキングウイルス TrickBot

オンラインスキャンサイト VirusTotal の結果を見ると、攻撃者も脳ミソ持った人間なので有名なセキュリティソフトのウイルス定義で脅威と判定しない新鮮な亜種が投入されてます。

・ MD5 8f3cd5707ae29ddf8f1b4b78548c80b0
www.virustotal.com/ja/file/3c9adef0b3bc17014e471a1fb64f45b1dd58e1ac7156182c97389d28d7425be9/analysis/1449753360/

・ MD5 a98e50da23b408c71fe12d8e46eeab57
www.virustotal.com/ja/file/5718e657a816f872fa5ce8c7a6d4118e5357ecbd155c3487944b428e79ebe6f4/analysis/1449754336/

■ 有効なウイルス対策は？

ウイルス対策として『不審なファイルを開くな』というのは誰でも思いつきます。

ただ、理想とは裏腹に現実では ”怪しい” と見抜けないユーザーさんがヒューマンエラーを発生させてうっかり開いて地獄へ落ちるのが既定路線でしょう。

そこで、この感染攻撃を確実に防ぐ スクリプトウイルス対策 ＆ マクロウイルス対策 をユーザー自らやっておくことをオススメします。