取組同意完了オリックスクレジット迷惑メールでウイルス感染 対策2つで防ぐ?
先月2017年9月から不特定多数にバラ撒かれてる実在企業を名乗った日本語の 迷惑メール(スパムメール) は、11日にカードローンの会社に成りすました攻撃で実施されました。 



- 【NTT-X Store】商品発送のお知らせ
- [TRY×3] 【発送連絡】 (送信専用)
- [ナデポ]登録受付のご案内
- [佐川急便] 請求内容確定のご案内
- お支払いが確認できませんでした
- 【取組同意完了のご確認】オリックス・クレジット NEW!
- 【重要】カスタマセンターからのご案内【楽天カード株式会社】
- 口座振替日のご案内【楽天カード株式会社】(楽天カード)
- 【楽天カード】ご請求予定金額のご案内
- [楽天]会員情報変更のお知らせ

オリックスクレジット!? ウイルスメール実例
件名 【取組同意完了のご確認】オリックス・クレジット
送信者 オリックス・クレジット <vip@credit.orix.co.jp>
お取組内容をご確認いただき誠にありがとうございます。
ご入力いただいた内容をもとにお手続きを進めさせていただきますので、ご契約成立までもう暫くお待ち下さい。
ご利用開始のご案内、ならびにお振込を希望されたお客様への振込手続きが完了した旨は、別途メールにてご案内いたします。
お客様番号 [数字] ⇒ 詳しくはこちら
なお、携帯電話からは本サイトをご覧いただけませんので、パソコン又はスマートフォンからお手続き願います。(※スマートフォンの一部ではご利用いただけません。)
オリックス・クレジット株式会社
■パーソナルセンター
■0120-20-[数字]
平日(月-金)9:00-19:00
メールに記載されてる日本語は文法的な不自然さが皆無です。
実際に使われてる文章をどこからかパクってくる以外で、この文章を一から作成するには日本語ネイティブでないと無理だよねぇ。 



<追記...>
IPA が公開してるレポートには、このオリックス・クレジット詐欺メールがとても巧妙であるが故にフィルタリングをスリ抜けた事例を紹介してます。
「ばらまき型メールの観測状況」で述べたとおり、2017 年 9 月頃から、ウイルスを添付ファイルとして送りつけてくるだけでなく、メール本文中に悪意のあるファイルをダウンロードさせるための URL リンクを記載するという手口も用いられるようになった。
(~中略~)
2017 年 10 月 11 日頃、メール本文中に URL リンクが記載された、オリックス・クレジットを詐称するばらまき型メール約 300 通が、メールフィルタリングでブロックできず組織内に流入した。
<出典 サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2017年10月~12月]>
www.ipa.go.jp/security/J-CSIP/
手口は不正なスクリプトファイル
メールに添付ファイルはなく、本文中の 「詳しくはこちら」 リンクをユーザーにポチッとクリックして踏ませます。
ここでzip形式の圧縮アーカイブがダウンロードされてくるので、手動で解凍・展開して中を確認すると Windows の スクリプトファイル(拡張子 .js) でした。 


【オリックスクレジット迷惑メールのファイル】
注文内容をチェック.DOC.js (irrdgbbdj.DOC.js)
ファイル名を二重拡張子 「~.DOC.js」 に仕立てることで、ユーザーにワード文書を受け取ったかのよう誤認させようとしてることが分かります。
<ファイルの拡張子が表示される設定になってる?

■ ネットバンキングウイルスに感染!
この.jsファイルを Windows パソコン上でポチポチッとダブルクリックして開いたら攻撃処理が発動し感染アウトになります。 


jsファイル開いた直後のプロセスの様子
Windows のシステムにある正規プログラム powershell.exe を介して外部ネットワークに接続を試みて、Windows 向け実行ファイルをダウンロードしてシレッと起動する症状を確認できました。
<裏側で行われるのでユーザーは気づかない

この実行ファイルの正体は、ネットバンキングなど不正送金被害で暗躍してる Ursnifウイルス です。 

【不正なスクリプトファイル】
MD5ハッシュ値 50f1f0adf2afd6a152576739797f3800
www.virustotal.com/ja/file/00387fd24d100919bdebe7f7d6c702f84d1d992479eb5f2a5836c50793c3310e/analysis/1507704600/
ESET PowerShell/TrojanDownloader.Agent.DV
Kaspersky HEUR:Trojan.Script.Agent.gen
Symantec JS.Downloader
Trend Micro JS_POWLOAD.HD
Kaspersky HEUR:Trojan.Script.Agent.gen
Symantec JS.Downloader
Trend Micro JS_POWLOAD.HD
【Ursnifウイルス】
MD5ハッシュ値 2daf82da57395550cc46270b748baf06
www.virustotal.com/ja/file/c2f07c8026ef14e340596fcd4905cddab9b71b5737b9641ac9fb742e3c6c8323/analysis/1507705864/
ESET Win32/Spy.Ursnif.AO
Kaspersky Trojan-Spy.Win32.Ursnif.uer
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIQU
Kaspersky Trojan-Spy.Win32.Ursnif.uer
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIQU
■ スマホは大丈夫!?
ファイルの種類から攻撃対象はWindowsパソコンに限定されます。
つまり、それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメール受信はあっても影響せず大丈夫です。 

効果的なウイルス感染防止方法
「不審なリンクをクリックするな」「怪しいファイルを開くな」 ってな精神論をよく見かるけど、現実には踏み抜くユーザーさんがいるはずです。
そこで、セキュリティソフトの対応が後手に回ろうと、ヒューマンエラーでうっかり不正なファイルを開こうが、ウイルス感染攻撃が100%確実に失敗する効果的で強力なウイルス対策 があるので紹介します。 
<2つ


【1】 スクリプトファイルの無害化
Windows の設定を変更してスクリプトファイル(拡張子 .js/.jse/.vbs/.wsf) の関連付けをメモ帳などに切り替えます。
<何らお金をかけずにスクリプトファイルの攻撃能力を0にできる

【2】 ファイアウォールの設定
Ursnifウイルスのダウンロード処理に powershell.exe や wscript.exe が悪用されるので、ファイアウォールを使い外部通信をブロックするよう登録します。
<標準の Windows ファイアウォールでも無料で対処できる

コメント