宅急便お届けのお知らせ偽メール 添付zipの中はウイルスexeで危険

イメージ 2
Image いらすとや

写真や画像を送信したかのよう装う日本語の 迷惑メール(スパムメール)や、ヤマト運輸株式会社を勝手に名乗り荷物の配達通知を装う 偽メール が不特定多数に配信されてます。

・ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「写真添付」「支払い」「デスクトップ画像」「画像」「写真」。本文は添付写真等の確認を求める内容となっていますが、添付ファイルは写真等を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/851344705237299201
件名 宅急便お届けのお知らせ
送信者 ご不在連絡eメール

■お届け予定日時
4月10日 時間帯希望なし
※お届け予定日時につきましては、ゴルフ・スキー・空港宅急便(施設宛)の場合、プレー日(搭乗日)を表示しております。
■品名:_
■商品名:宅急便
■ご依頼主:
■伝票番号:[数字][数字][数字]
ヤマト運輸株式会社
お客様サービスセンター
心当たりなくても「ん? 」となって目に留まらざるを得ない内容で、よく見かける 『怪しいメールを開くな』 がサッパリ実現できなくなる攻撃者の戦法に注意が必要です。

添付ファイルzipの中はウイルスexe

メールの添付ファイルは zip形式の圧縮アーカイブ ということでファイルを解凍・展開すると、中からこんな感じに Windows向け実行ファイル(拡張子 .exe) が登場します。

イメージ 1
ファイルの種類(拡張子)に注意を払うと不審なところを見抜ける

ファイル名や二重拡張子で PDF文書JPEG画像 とユーザーに誤認させようとしてるけど、この正体はネットバンキング不正送金被害へ繋がる UrsnifDreambot) ウイルスです。

■ n・931_0029_7301_kuronekoyamato.co.jp.pdf.exe
38a0422ca2ed05c129a0df3c95a01bfc
www.virustotal.com/en/file/97aa812914608290c9809379fa2cd8dfb19a27368a8358112322d3a174a057ff/analysis/1491808685/

■ Img_002983 IMG005.jpeg.exe
a183d51fcce53092b3f1a89f180bdd01
www.virustotal.com/en/file/6907d3bc37715cebb6ef38554fe9c9b86f4a6c0030b653e28eb93914583568e0/analysis/1491806924/


Q. 影響する環境は?

.exeファイルが動作する環境はWindows XP/Vista/7/8/10パソコンです。

つまり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメールを受信することはあっても攻撃対象ではないと分かります。

Q. 何をするとウイルス感染?

.exeファイルをユーザーの意思でダブルクリックして開いたら感染アウトです。

言い換えると、その前の段階 「メールを受信した」「メールを開いて本文を読んだ」「プレビューでメールの内容が表示された」「圧縮アーカイブzipをダブルクリックした」 だけではまだ感染するところに至ってないです。