請求書? 発注依頼書? 迷惑メールjsファイルのウイルス対策3つで感染0

イメージ 3

去年2016年11月15日を最後にパタリと攻撃停止したかのよう沈黙していましたか。

ただ、ウイルス感染狙いな添付ファイル付きの 迷惑メール(スパムメール) の配信が、2017年1月17日にバラ撒きを再開した模様です。

● 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「取引情報が更新されました」「【発注書受信】」「備品発注依頼書の送付」「依頼書を」「送付しますので」「発注依頼書」「(株)発注書」。添付ファイルは書類等を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/821163487984435200

● 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「御請求書」。添付ファイルは書類等を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/821171946163310592

この警視庁は Cutwail と呼ばれている 「スパムメール配信するボットネット」 の動向を把握しているらしく、日本向けのウイルスメール発信状況を捕捉しているようです。

これは、海外のサイバー犯罪者(ロシア語圏のグループ?)が日本国内の Windows ユーザーさんをターゲットに、日本語の言語を駆使して攻撃を展開しております。

ウイルスメールの手口は? スクリプトファイルがキモ

怪しい迷惑メールの 添付ファイルは zip 形式の圧縮アーカイブ になります。

このファイルを手動で展開・解凍してみると、その中から不正な JavaScript ファイルJScript Script ファイル拡張子 .js) が登場しました。

その実物のファイル検体たちのイメージ画像がコチラ♪

イメージ 1

イメージ 5

【不正なスクリプトファイル名の例】
pdf0008711780565540.pdf.js
1'16-1'17.80549021.rtf.js
Commercial_doc_900288377466.docx.js
DSC_89038948_20170117.png.js

ウイルスメール攻撃者が投入するトラップはファイルの 二重拡張子 であり、Windows ユーザーさんに誤認させて、うっかりファイルを踏み抜いてもらおうと必死です。

  • PDF文書? → ~.pdf.js
  • リッチテキスト文書? → ~.rtf.js
  • ワード文書? → ~.docx.js
  • PNG画像? → ~.png.js

もし、ファイルの拡張子 に注意を払わない Windows ユーザーさんは、このようなファイルの ”怪しい” 部分にサッパリ気づけないワケで、ウイルス対策として拡張子に注意を払う ことは、ものスゴく重要な事項と分かります。


スマホはウイルス感染大丈夫?

ところで、このスクリプトフィル .js の動作環境は何でしょうか?

このファイルは Windows XP/Vista/7/8/10 パソコン上でしか動作しないので、言い換えれば次の環境ではまったく動作せずウイルス感染の影響はいっさいないから大丈夫となります。

 Mac OS X
 Android スマホ
 iOS (iPhone / iPad)
 ガラケー

迷惑メール受信からウイルス感染に終わる流れ

実際に不正な js ファイルをダブルクリックして開いたらどんな症状が起こるのでしょうか?

その直後の感染症状を確認するため、手元の Windows 環境でポチポチッとダブルクリックして開いた時の Windows のプロセスの様子はこんな感じ~。

イメージ 2
ウイルスに感染した瞬間

まず、Windows の正規プログラム wscript.exe を介して外部ネットワークに接続します。

そして、ナゾの実行ファイル .exe をシレッとダウンロードされてきて、その Windows 向け実行ファイル(最下部の緑のファイル) がババーンと起動したのでした。

【ウイルス感染攻撃の流れ】
迷惑メールを受信する
 ↓ ここでウイルス感染する状況は100%ありえず

添付されてる圧縮アーカイブを Windows ユーザーが解凍・展開する
 ↓

Windows パソコン上でユーザーが js ファイルをダブルクリックして開く
 ↓

外部ネットワークに接続して実行ファイルがダウンロードされてきて感染する

今でもセキュリティ情報として目にする 「メールを開くだけでウイルス感染」 といった馬鹿げた状況はいっさい起こらず、結局は Windows ユーザーさんが不正なファイルをガッツリ踏み抜く 自爆 が感染条件になります。

怪しいメールを受け取って即ウイルス感染!、なんてな形で無知なユーザーさんをビビらせるシチュエーションは、ほぼ100%ありえません。


ネットバンキングウイルスに感染!

なお、問題の実行ファイル .exe は、ハッキング被害を受けている海外サイト(鳥小屋販売?)のサーバー上に配置されていました。

この実行ファイルの正体は、ネットバンキング不正送金クレジットカード不正利用 の被害が発生する引き金としてで暗躍するコンピュータウイルス Ursnif (読み方 アースニフ) という脅威です。

~ ウイルス定義名 ~
TrojanSpy:Win32/Ursnif
TSPY_URSNIF

【実行ファイルのスキャン結果】
MD5 4d5abd974d213339274581a49e9c2780
www.virustotal.com/ja/file/5feeee23ecd310ed552b56c1992d5e7f6dbf4e656224a9f3073b83770768e994/analysis/1484610025/


添付ファイルの種類に変化アリ! 手口の変遷

同一と思われるウイルスメール攻撃者は、去年2016年までは 実行ファイル(拡張子 .exe)を開かせるウイルス感染手口 を採用してました。

【今までのウイルス感染手口 2016年】
メールの添付ファイル .zip
└ 展開後の中身 .exe … Bebloh / Shiotob ウイルス

 ↓ ダブルクリックして開く


ただ、2017年5月あたりから スクリプトファイル(拡張子 .js) を開かせるウイルスメール手口 へ切り替えています。

【新たなウイルス感染手口 その1 2017年5月~】
メールの添付ファイル .zip
└ 展開後の中身 .js … Nemucod ウイルス

 ↓ ダブルクリックして開く

Ursnif ウイルス に感染


新たなウイルス感染手口 その2 2017年6月~
メールの添付ファイル .xls / .doc … マクロ入り Office ファイル

 ↓ マクロの動作を許可する [コンテンツの有効化] ボタンを押す

Bebloh / Shiotob ウイルスに感染
 あるいは
Ursnifウイルス に感染

ドコかしらセキュリティ情報のページで目にするウイルス対策 「怪しい実行ファイルは開かない!」 といった標語が通用しなくなっていることに注意スべきです。

ウイルス感染被害を100%防ぐウイルス対策3つ

ゼッタイにやってはいけないことはただ1つ。

スクリプトファイル(拡張子 .js)をダブルクリックして開く
⇒ 感染アウトー!

ただ、セキュリティソフトをスリ抜けて、加えてヒューマンエラーが発生することで、”うっかり開く” をやらかすのを大前提に、この ウイルスメールの攻撃を100%確実に防止する無料ウイルス対策 があるのでどぞ!


【1】 スクリプトファイルの無害化 (無料)

イメージ 4
確認ダイアログでウイルス感染回避のチャンス!





【2】 マクロウイルス対策 (無料)





【3】 ファイアーウォールの活用 (無料)




関連するブログ記事