日本郵政EMS迷惑メールでウイルス感染! 配達員が注文番号? 委託運送状を印刷?

イメージ 4

実在する運送会社を勝手に名乗って成りすまし、荷物を配達した 不在通知 のように装った日本語表記の迷惑メール(スパムメール)がバラ撒かれてます。
  • ドイツ系運送会社 DHL 、DHLジャパン
  • 米国系運送会社 UPS 、UPSジャパン
  • 実在しない EMS JapanEMS ジャパン
    → EMS は会社名ではなく国際郵便のサービス名
  • 日本の JAPAN POSTジャパン日本郵政日本郵便郵便局
メールの内容は次のような文面となってて、怪しいと感じつつも必ずしも不自然ではない日本語で書かれてます。 <文法的にメチャクチャではない
件名 配達業者はお電話を差し上げることはできません。 / 番号[数字]の下で小包の配達 / 日本郵政公社トラック[数字] / 日本郵便追跡サービス [数字] / Hello, Our courier could not able to contact you
拝啓
配達員が注文番号[数字]の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。
従ってご注文の品はターミナルに返送されました。
ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。
このメールに添付されている委託運送状を印刷して、最寄りの[運送サービス名]取り扱い郵便局までお問い合わせください。
敬具
件名 (なし)
こんにちは!添付ファイルになたの配信アドレスを確認してださい!
EMS-日本郵便
件名 Express Mail Service (EMS)
敬具
EMS(国際スピード郵便) ? 郵便局 ? 日本郵政
海外向けで FedEx や USPS(米国郵政) を名乗る英語表記の迷惑メールはよく目撃してるので、手口としては新しいことではないけど、完全な 本人狙い 偽メールというのは衝撃!

PDF文書に偽装した危険ウイルス!

添付ファイルはZIP形式の圧縮ファイルなので、解凍・展開してみると拡張子を偽装した
  1. 実行ファイル … 拡張子 .exe
  2. スクリーンセーバー … 拡張子 .scr
  3. スクリプトファイル … 拡張子 .js .wsf
といった形式のファイルが登場します。 <Mac OS、Androidスマホ、iOS(iPhone/iPad)、ガラケー は動作対象外なので関係なし

マルウェア解析サイト Malwr にアップされてたファイルの現物を頂いたら、こんな感じになってます。 <ダブルクリックしたら感染アウト!

イメージ 2
アイコン画像が配達車マークやPDF文書に偽装されてる

手元のWindowsパソコン上で起動してみると、目に見える症状として ダミーの画像 で通知文書が表示され、ユーザーに誤認させるダマしの演出も確認できました。 <ウイルス感染と気づかせないトリック

~ 実行ファイルを起動するとダミー画像でダマす ~

イメージ 1

イメージ 3

コチラの注意喚起してる女性の方は ウイルスを起動して自爆してる はずで、それに気づいてないけど大丈夫かい…。 <送り状ではなくウイルス!

『その商品かと思って添付されていた送り状を見てみる
すべて英文で 印刷しようとすると「画像がありません」と出てきます
新手の迷惑メール 【なりすまし詐欺の手口】 - 松岡順子 [マイベストプロ福岡・佐賀]
http://mbp-fukuoka.com/glassevolve/column/9656/

日本郵政を装った迷惑メールについて - 日本郵政
https://www.japanpost.jp/information/2015/20151218114836.html

Twitterのつぶやき

■ じゅねさんはTwitterを使っています: "先日こんなメールが届いたのだけど…DHLジャパンって所からメールきた事ある方います?ZIPファイル添付されてる。サイトを確認したらこんなページが設置されてたから、迷惑メールとして認識していいのかな…何か分かる方いたら教えて下さい…"
https://twitter.com/ju_riiin/status/674638964154765313
 
■ 夏白菊さんはTwitterを使っています: "DHLだかを語ったウィルスメールが一斉に送られてるらしく、早速添付ファイル開いてウィルス感染したバカがおる…。不在だから持ち帰ったよ、添付ファイルの書類で再配達依頼してねって、思い当たる節あるならまずはサイトで追跡かけるなり直接運送会社に確認しろよ…。"
https://twitter.com/natsushiragiku/status/674539336419840000
 
■ いまいさんはTwitterを使っています: "これはまた、DHLを騙ってウィルスを送りつけるあからさまに迷惑なメールがw"
https://twitter.com/_imai/status/674890017328660480
 
■ とんかつさんはTwitterを使っています: "DHLを騙ったウイルス添付メールは有名だが、ウチの社長はまんまと引っかかったらしい もちろん添付ウイルスは駆除(隔離)されていたので危険はないが、なぜこんな怪しい文面のメール(DHLジャパンと記載があるものの日本語がたどたどしく、連絡先も書いてないw)を信じてしまうのか……"
https://twitter.com/12V5A/status/674866402868654080

■ まみ松さんはTwitterを使っています: "今日職場にDHLから「配達したいけどあんたの電話繋がらないから添付ファイルの不在票プリントアウトして最寄りの郵便局に持ってって」ってメール来た。年配の方から相談されたので「私、DHL利用したことないんですけど、普通はそんなアナログでなく、HPですよね」って言って捨ててもらった…"
https://twitter.com/shimaco1211/status/674898892022878209
 
■ atlanさんはTwitterを使っています: "DHL騙ったマルウェア入りスパム やはり拡張子をごまかしてたか。 "DHLの出荷ライン_AT886542136BS ?fdp.scr" が入ったzipだった。一見すると xxxxxx.rcs.pdf と見えるんだよな。"
https://twitter.com/atlan1701/status/674908762222690304
 
■ DannerさんはTwitterを使っています: "スパムフィルタをくぐり抜けてきたので新手かと思ったが、調べてみると5年以上前からあるみたいだな。DHLを騙るウィルス付きメール。"
https://twitter.com/danner_2009/status/674242150473728002

■ 子分さんはTwitterを使っています: "今度は前回のインチキDHLジャパンと同じ住所でEMS ジャパンから不在通知が来たぞ。 しっかりとウィルスが入ってそうな添付ファイルと一緒に(笑)"
https://twitter.com/kobun_714/status/675530978769551360

■ たいまんねこさんはTwitterを使っています: "EMSジャパンを名乗る怪しいメール。登録の電話番号が誤っていたので配達できずに商品がターミナルに戻ったという内容だが、怪しいので検索したら似たようなケースが… 怪しさ満載なので添付ファイルは開けないのが賢明だと思います。"
https://twitter.com/lazycat6005/status/675563884296572928
 
■ 葉月ゆらさんはTwitterを使っています: "変な迷惑メールがきた。添付ファイルがウイルスらしい。 「配達員が注文番号9307286の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。」"
https://twitter.com/yura_hatuki/status/681274449513938944
 
■ t0t0さんはTwitterを使っています: "どっからかアドレス漏れてるんかな? やたら昨日からEMSジャパンから連絡来るんやけど。何も頼んでないし一斉に転送してるからかいろんな人のアドレス載りまくってるし。なにこれ。"
https://twitter.com/t0t0_812/status/675504015434645504
 
■ t0t0さんはTwitterを使っています: "あと すえなが会計事務所ってとこからも転送メール来たけどそれも他の人のアドレス載りまくってるけど大丈夫なんかな…"
https://twitter.com/t0t0_812/status/675504284964806656

■ あやなさんはTwitterを使っています: "不在票メールかと思ったけど何でファイルが添付されてるの…?と疑って調べたらウイルス付きの迷惑メールらしい…!こわい!!ファイルは開いてないよ!!"
https://twitter.com/ayana0727xxx/status/676186375087980544

■ あ!っと!らっち!さんはTwitterを使っています: "#新手のSPAM、ウィルスのたぐい 続き)このメールに添付されている委託運送状を印刷して、最寄りのJAPAN POST取り扱い郵便局までお問い合わせください。 敬具 JAPAN POSTジャパンの宛先: 〒554-#RANDONMUM(4)# 東京都港区芝浦4-13-23"
https://twitter.com/at_or_a/status/676327931396755456
 
■ みむさんさんはTwitterを使っています: "「番号○○の下で小包の配達」という日本郵政を騙る不審メールが来た、郵政からの問い合わせメールを装っているのに差出人メールがyahoo.comだったり、送り先がコピーで12件ぐらい表示されたりと雑すぎる(指南するつもりはないが)。何がしたいんだろう?"
https://twitter.com/mimuraakira/status/676309667740442624
 
■ 信濃の國_0908さんはTwitterを使っています: "@hetekon 偽メールです。 japan Postっていうと郵便?かと思いますが、番号を正規の郵便サイトから検索すると、そんな番号をありません。と表示されます。桁数も足りないし。 まあ、文章的にもおかしいですが。 開いたらきっとウィルスが…そんなところかと思います。"
https://twitter.com/SHINANO0908/status/676248912257228802
 
■ KazさんはTwitterを使っています: "珍しく日本語で書かれたウイルスメールが届いた。宅配番号****.SCRというファイルを開くと感染するようだけど、ESETやNetBarrierでは検出されなかった。VirusTotalでスキャンしたらまだ3つしか対応してなかった"
https://twitter.com/Kaz_Macintosh/status/684158395318812673
 
■ C-TYPEさんはTwitterを使っています: "日本郵政から「配達業者はお電話を差し上げることはできません」って件名のメールが来てて、最初の5秒くらい「うわ、ゆうパックで送った冬コミ新譜事故ったか?」とドキっとしたら、落ち着いて見返したらウイルスメールだったのでひと安心。これは修羅場でテンパってたら開けるかもなー。"
https://twitter.com/djctype/status/681805982695997440

■ 進撃♥ベリたん“助手(仮)”さんはTwitterを使っています: "【注意】 さっき日本郵政公社からのメールが来て『商品を配達するため電話で連絡を差し上げたのですが、つながりません…添付されている委託運送状を印刷し…』と。でも何か奇妙な感じしたので速攻ググったら、やはり…添付ふぁいる開けるとウイルスらしい。あっぶないねぇ皆様お気を付け下さい。"
https://twitter.com/AOTBLEACH/status/683989173221511169

ウイルス検体やウイルス検出名

ネットバンキングウイルス、ランサムウェア、バックドア、トロイの木馬といった種類のマルウェア検体ファイルのMD5ハッシュ値です。

【ウイルス検体の一例】
06aca2fe6e26f4e08e4bb30da7c70e4b ... Win32/Rovnix
dd97514c0d17f22db1dc86f4e97f5f94 ... 〃
19a24df1db46d562d7e1551d4ed0be04 ... 〃
1f611153d68950b1b80b8ccbb367b1cd ... 〃
5f867fb80149f790512d324beb0ef9cc ... Win32/Nitol
fc8ad8f40c6869e3f9dc7e0adaf1465e ... Win32/Rovnix + Win32/Fareit
d4a41411bb99131e8df545ba47956375 ... Win32/Fareit
742508794a6ac6e83841159ee5509293 ... Win32/Rovnix
f48b4682ed887d6d7a04ff12445d9ebc ... Win32/Dofoil
484a6a2f74761792f24de9ba8b111216 ... 〃
7e6bb598e2204862c2f6a415a923e293 ... 〃
9293f0e8713a366cb2dd8df74d61f36e ... Win32/Crowti
6aba9f4f77d1c84c7edf4c1bf70088df ... Win32/Dofoil
ecbc6d41cd293eadcb93bd961fdbbb61 ... 〃
9443415a3cb30afac8d415749f92e52a ... Win32/Vawtrak
d142805e086c5f0683660a5ce5c65332 ... Win32/Dofoil
2c7483855836c0b59aadd070c95a7222
/
関連するブログ記事