最終更新日 2017年8月11日
迷惑メール添付PDFでウイルス感染 開くとワードファイルを対策2つで防ぐ
2017年4月あたりから、添付ファイルの形式として必ずしも不自然ではない PDF文書(拡張子 .pdf) が付いてる怪しい 迷惑メール(スパムメール) が無差別に送信されてます。
ナゾのPDFファイルが付いてる迷惑メール実例
【迷惑メールの件名例】
Scan Data
Scanned file
Scanned document
uk_confirmation_ph[数字].pdf
Copy of your 123-reg invoice ( 123-[数字] )
Scanned Image from a Xerox WorkCentre
Receipt [数字]
Payment Receipt [数字]
Payment [数字]
Scanned image from MX-2600N
[数字].pdf
confirmation_[数字].pdf
paper
Document_[数字]
Scan_[数字]
File_[数字]
PDF_[数字]
Copy_[数字]
Scanned image
[数字]_Invoice_[数字]
Emailing: [数字].pdf
Your Invoice # [数字]
Invoice [数字] 05/17/2017
Copy of Invoice [数字]
Invoice([数字]-[数字])
IMG_[数字].pdf
img_[数字].pdf
Payment_[数字]
Payment#[数字]
Invoice INV-[数字]
Message from KM_C224e
Order
Emailing: [数字]
Emailing - DOC[数字].PDF
Please find attached our purchase order number [数字]
Document
IMG_[数字].PDF
Copy of Invoice [数字]
http://fireflyframer.blog.jp/19064364.html
メールは、もっともらしく次のような無視できない内容です。
- 画像や文書をスキャンしてPDF形式に変換したことを通知する
- 金銭の支払い請求書(invoice / インボイス)
手元に着弾してる分では、日本語ではない英語表記のメールとなってます。
PDF内からワード/エクセルファイル!?
このPDFファイルを Windows 向けの無料 PDF ビューアー Adobe Reader で実際に開いてみました。
すると、次のような見慣れない 確認ダイアログ が最初に表示されます。
PDFファイルを開いた直後の確認ダイアログ!?
ファイルを開くファイル「~.docm/~.doc/~.xlsm」には、コンピューターに損傷を与えるプログラム、マクロまたはウイルスが含まれている可能性があります。安全が確認された場合にのみこのファイルを開いてください。次のいずれかを選択してください。無題な濃いログ
● このファイルを開く(O)
○ このタイプのファイルを開くことを常に許可する(A)
○ このタイプのファイルを開くことを許可しない(N)
[OK] [キャンセル]
いちおう 『コンピューターに損傷を与えるプログラム、マクロまたはウイルスが含まれている可能性』 として、ユーザーさんに警告して注意を促してます。
だた、このような状況をユーザーさんが頭で理解していなかったり、手が滑って [OK] ボタン をポチッと押してしまえば、否応なく不正な Officeファイル が開かれてしまいます。 <たいてい気が緩んでたり
- ワードファイル … 拡張子 .docm .doc
- エクセルファイル … 拡張子 .xlsm .xls
■ 正体は危険なマクロウイルス
PDFファイル内に埋め込まれていたワードファイルやエクセルファイルの正体は?
不正な攻撃処理を含んだ マクロウイルス でした。
いちおう Microsoft Word や Microsoft Excel で Office ファイルを開いても、ユーザーが マクロの動作を手動で許可する作業 をしない限りは大丈夫です。
Wordファイルを開いたらマクロを有効にするよう指示される
『This Document is protected!』
不正な Office ファイルをメールに添付してバラ撒いても…
- 特に拡張子 .docm / .xlsm なら、スパムフィルタで否応なく弾かれる恐れ
- 見慣れない怪しい形式にユーザーが警戒してファイルを開いてくれない
このウイルスメールは、”怪しい” と感づかれなくする 『PDF』 というオブラートに包んで、攻撃の成功率を上げる戦法と思われます。
【マクロウイルス埋め込み PDF ファイル検出名】
ESET PDF/TrojanDropper.Agent
F-Secure Trojan-Dropper:JS/PdfDropper.A
Kaspersky Trojan-Downloader.PDF.Agent HEUR:Trojan.Script.Agent.gen
Microsoft TrojanDownloader:JS/Nemucod
Sophos Troj/PDFDoc Troj/DocDl
Symantec Trojan.Pidief.X
Trend Micro PDF_DOCDROP
ウイルスメールの目的は?
マクロウイルスの攻撃がうまく成功すると、次の マルウェア が Windows パソコンへシレッと送り込まれて感染です。 <ギャ~
ファイルを暗号化して破壊するランサムウェアJaff
- ファイルを暗号化して破壊するランサムウェア Locky
- ネットバンキングウイルス Dridex (読み方 ドライデックス)
- ネットバンキングウイルス TrickBot (読み方 トリックボット)
■ スマホはウイルス感染大丈夫?
この手口で採用されてる不正な Office ファイルの動作環境は、あくまで Windows XP/Vista/7/8/10 パソコンだけです。
メールの受信があり、さらに不正な PDFファイル や Office ファイルをうっかり開いても、ウイルス感染することはない環境は次のとおりです。
Mac OS X
Android スマホ
iOS (iPhone / iPad)
ガラケー
Android スマホ
iOS (iPhone / iPad)
ガラケー
感染防ぐ! 無料ウイルス対策2つ
後を追うセキュリティソフトにいっさい託さず、この攻撃手口を効果的にビシッと無にできる 無料ウイルス対策 を2つ紹介しましょう。
《1》 Adobe Reader の設定を変更する
Adobe Reader の設定で、あらかじめ次のオプションを変更してください。 <ほんの数分の作業でウイルス対策が完了♪
- Adobe Reader メニュー [編集] → [環境設定] をポチッとな
- [信頼性管理マネージャー] → [外部アプリケーションで PDF 以外の添付ファイルを開くことを許可] のチェックマークを 外す
こうしておいて、同じ不正なPDFファイルを開いてみました。
すると、次のような通知ダイアログが最初に表示されて、埋め込まれてる不正な Officeファイル を開かせてくれません。 <”うっかり” を100%防止できる
「添付ファイルを開くことができません。」
ただ、これもいちおう抜け道があり、添付されてる不正な Office ファイルをいったん任意のフォルダーへ出力(保存)することは可能です。
手動で保存させて開かせることは可能
《2》 Microsoft Office の設定を変更する
一連の攻撃で、メールに添付されてる PDF ファイルを開かせる流れを取り除くと、要は Windows ユーザーさんに マクロウイルスを開かせる手口 にすぎません。
つまり、マクロウイルスの感染を100%防ぐ 無料ウイルス対策 が有効です。
セキュリティソフトの出る幕なし♪
PDFビューアーの影響まとめ
このようなPDF文書の添付ファイル機能を悪用して、不正なファイルを埋め込んでおく手法は、Adobe Reader 以外の互換ソフトにも影響があります。
手元で Windows 向けPDFビューアーの影響具合を調べてみるとこんなとこ?
【PDFビューアーの影響有無】
Adobe Reader ○ 影響ありPDF-XChange Viewer ○
-----
Foxit Reader △ ワード/エクセルファイルを選択して開く作業が必要
Sumatra PDF △ ワード/エクセルファイルを選択していったん保存する作業が必要
-----
Google Chrome 影響なし
Microsoft Edge 〃
PDF 文書に元から存在する仕様を攻撃者が悪用する手口で、PDF ビューアーの脆弱性を突くものではありません。
- PDF ビューアーが最新バージョンであっても影響する
- Adobe Reader 以外の複数の PDF ビューアーで影響がある
PDF-XChange Viewer や Foxit Reader 向けのウイルス対策です。
なお、PDF文書を閲覧する機能を内蔵する無料ブラウザ Google Chrome や Microsoft Edge は、添付ファイルを開く機能が実装されてないので大丈夫♪ <対策は不要