【画像】Scanned image document迷惑メールでウイルス感染実例 手口を知り対策を
日本の家電メーカー シャープ が販売してる コピー複合機 からの送信を装った英語表記の不審な 迷惑メール(スパムメール) が不特定多数に配信されてます。 


ウイルスメール実例
件名 Scanned document from MX-4100N
Reply to: “MX-4100N”
Device Name: Not Set
Device Model: MX-4100N
Location: Not Set
File Format: XLS MMR(G4)
Resolution: 200dpi x 200dpi
Attached file is scanned document in XLS format.
件名 Scanned image from MX2310U@[メールアドレスの一部]
Reply to: office@[メールアドレスの一部]
Device Name: MX2310U@[メールアドレスの一部]
Device Model: MX-2310U
Location: Reception
File Format: PDF MMR(G4)
Resolution: 200dpi x 200dpi
Attached file is scanned image in PDF format(RAR archive).
件名 Scanned image from MX-2600N
Reply to: noreply@[メールアドレスの一部]
Device Name: Not Set
Device Model: MX-2600N
Location: Not Set
{File Format: DOC MMR(G4)
{File Format: Adobe Acrobat Reader
Resolution: 200dpi x 200dpi
Attached file is scanned image in DOC format.
Use Microsoft(R)Word(R) of Microsoft Systems Incorporated
to view the document.
このメールは紙の文書や写真をスキャンしてPDFファイルやOfficeファイルに変換したことを通知するデータ受信の名目になっていて、身に覚えがなくても目に留まってしまう仕掛けです。 

なお、件名や本文に登場する型番 「MX-4100N」「MX-2310U」「MX-2600N」 はシャープが実際に販売してる複合機です。 

・ 複合機からの送信を装った不審なメールについて|シャープ
http://www.sharp.co.jp/business/print/information/info_security_2015-12.html
http://www.sharp.co.jp/business/print/information/info_security_2015-12.html
Officeファイルやzip形式の圧縮アーカイブ
このメールには添付ファイルが付いていて、スキャンデータでも何でもない嘘の名目の Officeファイルでした。 



【Excelファイル - 拡張子 .xls】
mx-4100n@[メールアドレスの一部]_20151210_141946.xls
【Wordファイル - 拡張子 .doc .docm】
20170410_[数字].docm
20170927_[数字].doc
noreply@[メールアドレスの一部]_20170731_142671.doc
この正体は Microsoft Office に実装されてるマクロ機能を悪用して悪意のある動作を行う マクロウイルス と呼ばれるブツです。 

■ スクリプトファイルやPDFファイルも
他に、圧縮アーカイブ(.zip / .rar / .7z)が添付されていて、解凍・展開すると スクリプトファイル(拡張子 .js / .jse / .vbs / .wsf) のパターンを確認してます。
また、PDF文書が添付されてるウイルス感染手口 も確認してます。
いずれにしても、Windows XP/Vista/7/8/10 パソコン上で動作するファイルなので、それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は影響せず大丈夫です。 



ウイルスから別のマルウェア感染
不正なOfficeファイル、スクリプトファイル、PDFファイルの機能的な役割は、次のマルウェアをシレッとダウンロードしてきて感染させることです。 

ランサムウェアTeslaCrypt- ランサムウェア Locky
- ランサムウェア CRBR Encryptor / Cerber Ransomware
- ランサムウェア GlobeImposter
- ネットバンキングウイルス Dridex
- ネットバンキングウイルス TrickBot
・ MD5 8f3cd5707ae29ddf8f1b4b78548c80b0
www.virustotal.com/ja/file/3c9adef0b3bc17014e471a1fb64f45b1dd58e1ac7156182c97389d28d7425be9/analysis/1449753360/
・ MD5 a98e50da23b408c71fe12d8e46eeab57
www.virustotal.com/ja/file/5718e657a816f872fa5ce8c7a6d4118e5357ecbd155c3487944b428e79ebe6f4/analysis/1449754336/
■ 有効なウイルス対策は?
ウイルス対策として 『不審なファイルを開くな』 というのは誰でも思いつきます。
ただ、理想とは裏腹に現実では ”怪しい” と見抜けないユーザーさんがヒューマンエラーを発生させてうっかり開いて地獄へ落ちるのが既定路線でしょう。
そこで、この感染攻撃を確実に防ぐ スクリプトウイルス対策 & マクロウイルス対策 をユーザー自らやっておくことをオススメします。 
<お金がかからない

