楽天カードカスタマセンター口座振替日ご案内メールはウイルス対策2つで感染防ぐ？ : 無題なログ

楽天カードカスタマセンター口座振替日ご案内メールはウイルス対策2つで感染防ぐ？

Image いらすとや

先月2017年9月から不特定多数にバラ撒かれてます！

実在する企業や銀行に成りすました日本語表記の 迷惑メール（スパムメール） が新たに楽天グループのクレジットカード会社 楽天カード を騙るパターンが投入されてます。

楽天カードを名乗る詐欺メール実物

件名カード利用のお知らせ / 【重要】カスタマセンターからのご案内【楽天カード株式会社】
送信者楽天カード株式会社 <support＠mail.rakuten-card.co.jp>
━━━━━
【重要】カスタマセンターからのご案内
━━━━━
平素は、楽天カードをご愛顧賜り誠にありがとうございます。
当社からの重要なご案内をお送りいたしますので、
下記内容をご確認いただきますよう、何卒お願い申し上げます。
ただいま、お客様からの変更処理に基づいて会員登録情報が変更されました。
万が一、本メールの内容に覚えがない場合には以下までお問い合わせください。
｛http：//rakuten-card.co.jp/accountID[数字]/confirmation
｛https://www.rakuten-card.co.jp/e-navi/members/information/customer/index[数字]
※このメールはお客様の会員登録の情報が変更されたことをお知らせする重要なご連絡です。
なお、携帯電話からは本サイトをご覧いただけませんので、パソコン又はスマートフォンからお手続き願います。（※スマートフォンの一部ではご利用いただけません。）
━━━━━
＜お問い合わせ先＞
楽天カード株式会社　カスタマセンター
電話番号：0570-[数字]-[数字]
(一部ご利用いただけない場合は092-[数字]-[数字]をご利用ください。）
営業時間：8:15-20:40
━━━━━
※このメールの送信アドレスは送信専用となっておりますので、
本メールへのご返信はご遠慮いただきますようお願いいたします。
━━━━━
発行元　　楽天カード株式会社
━━━━━

件名【重要】カスタマセンターからのご案内【楽天カード株式会社】
送信者楽天カード株式会社 <support＠mail.rakuten-card.co.jp>
━━━━━
【重要】カスタマセンターからのご案内
━━━━━
（ご注意：本メールにご返信頂くことはできません。）
平素は、楽天カードをご愛顧賜り誠にありがとうございます。
当社からの重要なご案内をお送りいたしますので、
下記内容をご確認いただきますよう、何卒お願い申し上げます。
━━━━━
　お客様への重要なお知らせ
━━━━━
http：//rakuten-card.co.jp/importantnotice/[数字]
なお、携帯電話からは本サイトをご覧いただけませんので、パソコン又はスマートフォンからお手続き願います。（※スマートフォンの一部ではご利用いただけません。）
━━━━━
＜お問い合わせ先＞
楽天カード株式会社　カスタマセンター
電話番号：0570-[数字]-[数字]
(一部ご利用いただけない場合は092-[数字]-[数字]をご利用ください。）
営業時間：8:15-20:40
━━━━━
※このメールの送信アドレスは送信専用となっておりますので、
本メールへのご返信はご遠慮いただきますようお願いいたします。
━━━━━
発行元　　楽天カード株式会社
━━━━━

件名【重要】カスタマセンターからのご案内【楽天カード株式会社】

送信者楽天カード株式会社 <support＠mail.rakuten-card.co.jp>
━━━━━
【重要】カスタマセンターからのご案内
━━━━━
（ご注意：本メールにご返信頂くことはできません。）
平素は、楽天カードをご愛顧賜り誠にありがとうございます。
当社からの重要なご案内をお送りいたしますので、
下記内容をご確認いただきますよう、何卒お願い申し上げます。
□■━━━
■　振込先口座のご確認方法について
━━━━━
下記から楽天e-NAVIにログインいただき、ご確認いただけます。
　　　▼お客様への重要なお知らせ▼
　　　　　詳しくはこちら
なお、携帯電話からは本サイトをご覧いただけませんので、パソコン又はスマートフォンからお手続き願います。（※スマートフォンの一部ではご利用いただけません。）
━━━━━
＜お問い合わせ先＞
楽天カード株式会社　カスタマセンター
電話番号：0570-[数字]-[数字]
(一部ご利用いただけない場合は092-[数字]-[数字]をご利用ください。）
営業時間：8:15-20:40
━━━━━
※このメールの送信アドレスは送信専用となっておりますので、
本メールへのご返信はご遠慮いただきますようお願いいたします。
━━━━━
発行元　　楽天カード株式会社
━━━━━

件名口座振替日のご案内【楽天カード株式会社】(楽天カード)
送信者楽天カード株式会社 <info＠mail.rakuten-card.co.jp>
━━━━━
　　　楽天カードからのお知らせ
━━━━━
いつも楽天カードをご利用いただきありがとうございます。
----------
｛今月の楽天カードの口座振替日は10月16日(月)です。｛今月の楽天カードの口座振替日は10月20日です。｛今月の楽天カードの口座振替日は10月27日です。｛今月の楽天カードの口座振替日は11月17日です。｛今月の楽天カードの口座振替日は11月21日です。｛今月の楽天カードの口座振替日は11月30日です。｛今月の楽天カードの口座振替日は1月30日です。
｛（楽天カードの口座振替日は毎月16日になりますが、休日の場合は、｛（楽天カードの口座振替日は毎月20日になりますが、休日の場合は、｛（楽天カードの口座振替日は毎月27日になりますが、休日の場合は、｛（楽天カードの口座振替日は毎月24日になりますが、休日の場合は、｛（楽天カードの口座振替日は毎月30日になりますが、休日の場合は、翌営業日となります。）
翌営業日となります。）
｛ご登録口座の残高のご準備は10月13日(金)までにお願いいたします。｛ご登録口座の残高のご準備は10月20日(金)までにお願いいたします。｛ご登録口座の残高のご準備は10月27日(金)までにお願いいたします。｛ご登録口座の残高のご準備は11月17日(金)までにお願いいたします。｛ご登録口座の残高のご準備は11月21日(金)までにお願いいたします。｛ご登録口座の残高のご準備は11月29日(金)までにお願いいたします。
～お客様のご請求金額のご確認はコチラ～
｛http：//rakuten-card.co.jp/client[数字]/chargedamount
すでにご確認・ご準備いただいているお客様につきましては、
重なるご案内になりますが、何とぞご了承いただきますよう
お願い申し上げます。
-----
■口座振替に関するよくあるお問い合わせ

￣￣￣￣￣

・当日に口座に入金したのに、すでに口座振替が終わっていた。

休日の預け入れや、当日の口座振替時間帯は、金融機関によって異なります。

口座振替の前営業日までに、ご登録口座へ残高のご準備をお願いいたします。

・口座振替が完了しているのに、利用可能額に反映されない。

お支払い日の口座振替結果の情報が、金融機関より弊社へ反映するまでに

通常2～4営業日のお時間を要します。

口座振替結果の情報が入り次第、カードのご利用額へ反映いたします。

ただし、ご請求口座が�楽天銀行�で以下の場合は、口座振替の結果を

お支払い日の当日中に反映しております。
｛毎月16日の前営業日までにご請求金額を口座にご準備いただきかつ、｛毎月25日の前営業日までにご請求金額を口座にご準備いただきかつ、｛毎月30日の前営業日までにご請求金額を口座にご準備いただきかつ、
｛16日（金融機関が休業日の場合、翌営業日）お引き落し済みの場合。｛25日（金融機関が休業日の場合、翌営業日）お引き落し済みの場合。｛30日（金融機関が休業日の場合、翌営業日）お引き落し済みの場合。

■口座振替ができなかった場合の注意点

￣￣￣￣￣

・キャッシングサービスのご利用ができなくなり、

　再度審査が必要となることがあります。

・楽天e-NAVIの一部サービスがご利用いただけなくなることがあります。

・キャンペーンの対象外となることがあります。
■便利なサービスのご案内

￣￣￣￣￣
　楽天カードのネットキャッシングなら、
　口座振替の口座に最短数分でお振込みできます！
　こんな時は「ネットキャッシング」♪

　￣￣￣￣￣
　　・忙しくてATMに行く時間がない。
　　・すぐに口座にお金が必要。
　ネットキャッシングは、楽天e-NAVIからカンタンにお申し込みができて、
　最短数分でお振込み♪
　パソコンはもちろん、携帯やスマートフォンでも楽天e-NAVIから手続きできます！
　ネットキャッシングの詳細は「キャッシングサービスご利用ガイド」
　をご確認ください。
～「キャッシングサービスご利用ガイド」はコチラ～
｛http：//rakuten-card.co.jp/serviceinformation/[数字]
※楽天カードアカデミーおよびキャッシング枠が付帯されていない
　会員様につきましては、キャッシングサービスのご利用が出来ませんので、
　あらかじめご了承ください。
━━━━━
【重要】━━━━━
不正な画面を表示させて会員様の情報を盗み取ろうとする犯罪にご注意ください
━━━━━
会員様のパソコンがウィルスに感染したことにより、
会員様が楽天e-NAVIへログインする際に、不正な画面(偽画面)が
表示される事例が確認されています。
このような偽画面は、会員様のカード番号、有効期限、セキュリティコード等の
カード情報を聞きだし、会員様の名義で不正利用することを目的としたものです。
━━━━━
楽天e-NAVI メンテナンス情報　>> 詳しくはこちら
｛http：//rakuten-card.co.jp/e-navi/option[数字]
━━━━━
■このメールはMSゴシックなどの等幅フォントで最適にご覧いただけます。
■弊社からのメールを希望されない会員様へも重要なお知らせとして
配信しております。
　誠に勝手ながらこのお知らせメールの配信停止はいたしかねますので、
　何とぞ、ご了承ください。
■このメールアドレスは配信専用となっております。
　返信いただいても対応はいたしかねますのでご了承ください。
━━━━━
発行元　　楽天カード株式会社
━━━━━

「発行元楽天カード株式会社」と称していて、メールの雰囲気も企業から送信されてきても不自然ではない文字装飾が使われてます。

機械翻訳を噛ました文法的に怪しい表現も登場せず完璧な日本語の文章です。

○ 楽天カード利用お知らせEdyチャージ迷惑メールでウイルス感染対策は？

.jsファイルを開かせる攻撃手口

詐欺メールに添付ファイルはなく、本文中の次のようなリンクが記載されてます。

「詳しくはこちら」
「～お客様のご請求金額のご確認はコチラ～」
「～「キャッシングサービスご利用ガイド」はコチラ～」
「http：//rakuten-card.co.jp/ ～」
「http：//www.rakuten-card.co.jp ～」

ここをポチッとクリックすると、楽天カードのフィッシング詐欺サイトが表示されるワケではなく、不審なファイルのダウンロードされました。

zip圧縮アーカイブの場合、ファイルを解凍・展開して中身を確認すると、次のような Windows の スクリプトファイル（拡張子 .js）が入ってました。

【楽天カード詐欺メールのファイル】
楽天銀行の重要な情報.PDF.js （rxmawpxsvj.PDF.js）
詳細情報楽天銀行.PDF.js （fqvjrxma.PDF.js）
楽天カードからのお知らせ.DOC.js （rxfijnxwmnxd.DOC.js）
詳細内容をチェック.doc.js （fqrd gbbdj.doc.js）

ファイルの種類形式から文書ではないことが明らかです。

ただ、ファイル名を二重拡張子「～.PDF.js」「～.DOC.js」にすることで、楽天カードや楽天銀行に関係するPDF文書やワード文書であるかのようユーザーを錯覚させようとしてます。

■ ネットバンキングウイルスに感染！

この.jsファイルをWindowsパソコン上でダブルクリックして開くと、裏側で Ursnifウイルス （読み方アースニフ、別名 Dreambot）がシレッとダウンロードされてきて感染です。

＜ネットバンキング不正送金に繋がるマルウェア！

手元で.jsファイルを開いた直後のプロセスの様子は次のようになっていて、マイクロソフトの正規プログラム powershell.exe を介して外部ネットワークに接続を試み、実行ファイル（拡張子 .exe）をダウンロードするようになってました。

Ursnifウイルスを感染させる攻撃処理

【不正なスクリプトファイル】

MD5 003e9f368bf72eabcd104890762dbfb4
www.virustotal.com/ja/file/f8dccec103257c7bcb065c68937a6ee06e44526e7c8520cac0f348a713213d97/analysis/1507783070/

MD5 eb6765a1b491206d216ad2a8758b0a26
www.virustotal.com/ja/file/64457e743855169bcf847d0ec72c4cad8640100390bf676f5863720e300a0e56/analysis/1507862363/

MD5 90c2bf0ac16be63784d60601b4967a07
www.virustotal.com/ja/file/84cac5241524e358ba2136c29cb45b7289d3021306cd73645453168b60f39b94/analysis/1511929106/

MD5 e76be1b640420cd6dd1fc64f840c87a9
www.virustotal.com/ja/file/043f1b1bbc7b59bd416d4b9eb9c32f154f6f9577688b1dce722b3fb9aea8897b/analysis/1511965974/

ESET PowerShell/TrojanDownloader.Agent.DV PowerShell/TrojanDownloader.Agent.WF PowerShell/TrojanDownloader.Agent.ZX
Kaspersky HEUR:Trojan.Script.Agent.gen Trojan.JS.Agent.eaf Trojan-Downloader.JS.Agent.odg
Symantec JS.Downloader
Trend Micro JS_URSNIF.EE JS_URSNIF.EF JS_POWLOAD.ELDSAUHE JS_NEMUCOD.ELDSAUUU

【Ursnifウイルス】
MD5 6a13751ba411593f3e9d2cc8833c2429
www.virustotal.com/ja/file/1e513b55e04cda331157e6d6bf155d2158c10cfa0a820d79e790e0cb8e96a613/analysis/1507785661/

MD5 eae86778706b1ca61341b25d04ea8ebf
www.virustotal.com/ja/file/2e530f9942dd97b3e4705152fac00e741896db9b9d4bc93caaa969523f37faf6/analysis/1507863365/

MD5 e05804f44a02214263b741e60417f648
デジタル署名 Brandflow Ltd
www.virustotal.com/ja/file/81d7804950e0515c0777b674b554ebd805342ecf7efd2f4538370b49b5f05dcf/analysis/1511930503/

MD5 51af599c3d55bd7ba5183562f2769a73
www.virustotal.com/ja/file/5830d2e7f144e641252074020289fbb5027cd51a891008d307e4b04ba430ad25/analysis/1512001190/

ESET Win32/Spy.Ursnif.AO Win32/Kryptik.FXRG
Kaspersky Trojan-Spy.Win32.Ursnif.ufa Trojan-Spy.Win32.Ursnif.uff Trojan-Spy.Win32.Ursnif.wxy Trojan-Spy.Win32.Ursnif.xaq
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse Trojan.Gen.2
Trend Micro TSPY_URSNIF.AUSIQW TSPY_URSNIF.AUSIRR

■ ランサムウェアに感染!?

この手の楽天カード詐欺メールはランサムウェアの感染が目的と紹介する記事を見かけました。

ただ、手元で動作確認してもファイルを暗号化して身代金の支払いを要求してくる場面はなく、ランサムウェアの感染を目的にした攻撃ではありません。

■ スマホは大丈夫？

このウイルスメール攻撃で投入されてるファイルは Windows 向けの形式です。

そのため、Mac OS X、Androidスマホ、iOS（iPhone/iPad）、ガラケーらへんの動作環境から外れるので影響もなく大丈夫ですよ～。