【画像】Scanned image document迷惑メールでウイルス感染実例 手口を知り対策を

イメージ 3
Image いらすとや

日本の家電メーカー シャープ が販売してる コピー複合機 からの送信を装った英語表記の不審な 迷惑メール(スパムメール) が不特定多数に配信されてます。

イメージ 4
ウイルスメール実例
件名 Scanned document from MX-4100N
Reply to: “MX-4100N”
Device Name: Not Set
Device Model: MX-4100N
Location: Not Set
File Format: XLS MMR(G4)
Resolution: 200dpi x 200dpi 
Attached file is scanned document in XLS format.
件名 Scanned image from MX2310U@[メールアドレスの一部]
Reply to: office@[メールアドレスの一部]
Device Name: MX2310U@[メールアドレスの一部]
Device Model: MX-2310U
Location: Reception
File Format: PDF MMR(G4)
Resolution: 200dpi x 200dpi
Attached file is scanned image in PDF format(RAR archive).
件名 Scanned image from MX-2600N
Reply to: noreply@[メールアドレスの一部]
Device Name: Not Set
Device Model: MX-2600N
Location: Not Set
{File Format: DOC MMR(G4)
{File Format: Adobe Acrobat Reader
Resolution: 200dpi x 200dpi
Attached file is scanned image in DOC format.
Use Microsoft(R)Word(R) of Microsoft Systems Incorporated
to view the document.
このメールは紙の文書や写真をスキャンしてPDFファイルやOfficeファイルに変換したことを通知するデータ受信の名目になっていて、身に覚えがなくても目に留まってしまう仕掛けです。

なお、件名や本文に登場する型番 「MX-4100N」「MX-2310U」「MX-2600N」 はシャープが実際に販売してる複合機です。

複合機からの送信を装った不審なメールについて|シャープ
http://www.sharp.co.jp/business/print/information/info_security_2015-12.html

Officeファイルやzip形式の圧縮アーカイブ

このメールには添付ファイルが付いていて、スキャンデータでも何でもない嘘の名目の Officeファイルでした。

イメージ 1
単なるエクセルファイルにしか見えず 拡張子 .xls

イメージ 2
マクロ入りワードファウル 拡張子 .docm

Excelファイル - 拡張子 .xls
mx-4100n@[メールアドレスの一部]_20151210_141946.xls

Wordファイル - 拡張子 .doc .docm
20170410_[数字]
.docm
20170927_[数字].doc
noreply@[メールアドレスの一部]_20170731_142671
.doc

この正体は Microsoft Office に実装されてるマクロ機能を悪用して悪意のある動作を行う マクロウイルス と呼ばれるブツです。

スクリプトファイルやPDFファイルも

他に、圧縮アーカイブ(.zip / .rar / .7z)が添付されていて、解凍・展開すると スクリプトファイル拡張子 .js / .jse / .vbs / .wsf) のパターンを確認してます。



いずれにしても、Windows XP/Vista/7/8/10 パソコン上で動作するファイルなので、それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は影響せず大丈夫です。

ウイルスから別のマルウェア感染

不正なOfficeファイル、スクリプトファイル、PDFファイルの機能的な役割は、次のマルウェアをシレッとダウンロードしてきて感染させることです。
オンラインスキャンサイト VirusTotal の結果を見ると、攻撃者も脳ミソ持った人間なので 有名なセキュリティソフト のウイルス定義で脅威と判定しない新鮮な亜種が投入されてます。 

・ MD5 8f3cd5707ae29ddf8f1b4b78548c80b0
www.virustotal.com/ja/file/3c9adef0b3bc17014e471a1fb64f45b1dd58e1ac7156182c97389d28d7425be9/analysis/1449753360/

・ MD5 a98e50da23b408c71fe12d8e46eeab57
www.virustotal.com/ja/file/5718e657a816f872fa5ce8c7a6d4118e5357ecbd155c3487944b428e79ebe6f4/analysis/1449754336/

有効なウイルス対策は?

ウイルス対策として 『不審なファイルを開くな』 というのは誰でも思いつきます。

ただ、理想とは裏腹に現実では ”怪しい” と見抜けないユーザーさんがヒューマンエラーを発生させてうっかり開いて地獄へ落ちるのが既定路線でしょう。

そこで、この感染攻撃を確実に防ぐ スクリプトウイルス対策マクロウイルス対策 をユーザー自らやっておくことをオススメします。 <お金がかからない

関連するブログ記事