最終更新日 2016年7月1日
送信者が自分自身? 迷惑メール正体とjs/vbs/docmウイルス対策3つ
思わず、えっ???
メール送信者が、なぜか 自分自身のメールアドレス になってる英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
件名 doc[数字] / DOC[数字] / SCAN[数字] / FILE[数字] / document[数字] / Document[数字] / Emailing: Image ([数字]).gif .jpg .pdf .png / Emailing: Picture ([数字]).gif .pdf .png / Attached: IMG([数字]) / Attached: Receipt([数字]) / Attached: Photo([数字]) / Copy: IMG([数字]) / Copy: Photo([数字]) / Copy: Picture([数字]) / Emailing: IMG([数字]) / Emailing: Photo([数字]) / File: Photo([数字]) / File: Picture([数字]) / Copy: INV([数字]) / Document (1).pdf / CCE29032016うんたら~系
送信者 <自分自身のメールアドレス>
件名 Photos [数字]
送信者 <自分自身のメールアドレス>
Envoyé de mon Galaxy S6 edge+ Orange
件名 Attached Image
送信者 <自分自身のメールアドレス>
The information in this email is confidential and may be privileged.
If you are not the intended recipient, please destroy this message and notify the sender immediately
件名 Image[数字].pdf
送信者 <自分自身のメールアドレス>
Sent from my Sony Xperia™ smartphone
メールには添付ファイルがあり、自分が自分に宛てに何かファイルを送信したかのように見えることになります。
こうなると、目が留まらざるをえないメールは無視できず、身に覚えのない添付ファイルが気になって、確認したい衝動を抑えられなくなると。
- 迷惑メールがスパムフィルタからスリ抜けやすくなる
- スパムフィルタとしてブロックしようにも自分自身のメールアドレスなのでブラックリストに登録できない
■ メール送信者は偽装できる
迷惑メールの判断材料として、メール送信者をチェックするよう指示するお話があります。
参考にする分には問題ないけど、メール送信者を額面通りに受け取ると騙されるパターンもあるので注意が必要です。
ウイルスメール (楽天市場に偽装)
フィッシングメール (Amazon.co.jp に偽装)
通販詐欺の迷惑メール (ユニクロに偽装)
実在企業を騙ったウイルスメールやフィッシングメールがバラ撒かれるのは、表面的なメールの送信者に任意の文字列を設定することで偽装できるためです。
自分自身のメールアドレスになってる迷惑メールの場合、メールの宛て先と送信者(差出人)を同一にする偽装によって実現されてます。
圧縮ファイルから不正なスクリプトファイル
迷惑メールに添付ファイルがあった?
手元では、件名とほぼ同じ名前が付けられてる、次のような zip 形式、rar 形式、7z 形式の圧縮アーカイブでした。
Document1.zip
Document2.zip
Document7.zip
Image[数字].zip
この圧縮アーカイブを手元で解凍・展開してみると、次の3系統のファイル形式が多いでしょうか。
- 拡張子 .js .jse … JavaScriptファイル / JScript Scriptファイル
- 拡張子 .vbs … VBScriptファイル
- 拡張子 .wsf … Windows Scriptファイル
■ 自分が自分宛てに文書を送信!?
ダブルクリック厳禁!
決して文書ではない
【メールの添付ファイル】
Document[1~2ケタの数字].zip / Document [1ケタの数字].zip
↓ 解凍・展開する
[英数字].js
Document[数字].js
【メールの添付ファイル】
[件名と同じ].zip / [件名と同じ].rar
↓ ユーザーが解凍・展開する
CCE29032016_[数字].js
[英数字].js
■ 自分が自分宛てに画像や写真を送信!?
ダブルクリック厳禁! 決してJPEG写真ではない
【メールの添付ファイル】
Image[数字].zip
↓ ユーザーが手動で解凍・展開する
[英数字].js
【メールの添付ファイル】
20160404_[数字]_resized.zip
↓ ユーザーが解凍・展開する
20160402_[数字]_resized.js
ダブルクリック厳禁!
画像や写真ではありません
【メールの添付ファイル】
IMG([数字]).zip / Photo([数字]).zip / Picture([数字]).zip
↓ ユーザーが解凍・展開する
Picture[数字].wsf / IMG[数字].wsf
これらファイルは、Windows の スクリプトファイル という形式で、ファイル名だけ見ると誤解しそうだけど、決して 文書や画像ではない拡張子 です。
<追記...>
迷惑メールに Microsoft Office の ワードファイル(拡張子 .doc / .docm) が添付されてるパターンも投入されてますかい。
件名 Document(1) / Document / [英数字] / File: [英数字] / Scan: [英数字] / RE [英数字] / Emailing [英数字] / FW: [英数字] / MSG: [英数字] / File: [英数字] / Documents from work / Attached Image送信者 <自分自身のメールアドレス>
添付ファイル Document(1).doc / Document 2.docm / [ランダム英数字].docm / Untitled(1).docm / [数字]_[数字].docm
Windows ユーザーさんが Microsoft Word で Office ファイルを開いて、マクロの動作を許可するため [コンテンツの有効化] ボタンを押す と、攻撃処理が華麗に発動してウイルス感染サヨウナラ~、となります。
ダブルクリックでランサムウェア感染
js/jse ファイル、vbs ファイル、wsf ファイルを Windows パソコン上でポチポチッとダブルクリックして開いたら?
ランサムウェア や ネットバンキングウイルス に感染することが知られてます。
この記事を投稿した時点で動作確認してみると、ランサムウェア(身代金要求型ウイルス) の1つ Locky が外部ネットワークからシレッとダウンロードされてきて感染しました。
不正なJSファイルを実際にダブルクリックして開く
スクリプト wscript.exe の下にナゾの実行ファイルがー
この実行ファイル(上の画像の緑色)をファイルスキャンサイト VirusTotal に投げてみると、セキュリティソフトのウイルス定義データで脅威と判定しない新鮮な亜種 が投入されいます。
【Locky ウイルス検体】
MD5 a5c8cc42ea38b56a373191513275ab93
www.virustotal.com/ja/file/ddb80a24da8bec08eeac77e0a7ea13e48805a302290555d4bcb5d86d9080b13c/analysis/1458217419/
ランサムウェアに感染してしまうと?
Windows の中にある文書や写真が次々と破壊されていき、ファイルを復元するため称して高額な身代金を支払うよう要求される展開となります。
仮にセキュリティソフトが後を追って対応できても、もうその時には、大事なファイルがぜんぶ破壊され終えてる悲劇が待ってます。
■ スマホはウイルス感染影響あり?
ここまでに登場したファイル形式 .js、.vbs、.wsf、.exe、.doc、.docm の動作対応対象は、Windows XP/Vista/7/8/10 パソコンだけです。
ってことで、次の環境は、ウイルスメールの受信そのものはあっても、ウイルス感染攻撃の対象外となり大丈夫ですです♪
Mac OS X
Android スマホ
Android スマホ
iOS (iPhone / iPad)
ガラケー
感染被害を確実に回避する無料ウイルス対策
「怪しいメールを開くな」「不審なファイルを開くな」 と言われるけど、一方で人間は ヒューマエラー を起こすことが過去のさまざまな事故で分かってます。
心意気で何とかしようというのはけっこう無謀です。
そこで、”怪しい” と見抜くことのできない Windows ユーザーさんが存在するのは当然のことと考えて、それを大前提に マルウェアの侵入を100%確実に防ぐ無料ウイルス対策3つ をどぞー。