楽天カード利用お知らせ会員情報変更メールはウイルス 対策2つで感染防ぐ?

イメージ 3
Image いらすとや

実在する企業を騙った日本語表記の怪しい 迷惑メール(スパムメール) が9月から不特定多数にバラ撒かれてるけど、楽天株式会社楽天カード株式会社 を名乗った詐欺メールが投入されます。

イメージ 7
楽天に成りすます詐欺メール実例
件名 [楽天]会員情報変更のお知らせ / カード利用のお知らせ
送信者 <myinfo@rakuten.co.jp>
{━━━━━
{   楽天カードからのお知らせ
{━━━━━

{いつも楽天カードをご利用いただきありがとうございます。
題名 : [楽天]会員情報変更のお知らせ
差出人 : myinfo@rakuten.co.jp
アドレスブックに登録する
全ヘッダー表示▼
こちらをクリックして、ご請求を詳しく説明してください
https://member.id.rakuten.co.jp/rms/menufwd/[数字]
※このメールはお客様の会員登録の情報が変更されたことをお知らせする重要なご連絡です。
 ̄ ̄ ̄ ̄ ̄
ただいま、お客様からの変更処理に基づいて会員登録情報が変更されました。
万が一、本メールの内容に覚えがない場合には以下までお問い合わせください。
-----
楽天市場 お客様サポートセンター
>電話でのお問い合わせ 
 電話番号: 050-[数字]-[数字]
 受付時間: 9:00 ~18:00 (年中無休)
 ※通話料は、お客様負担となります。
チャットでのお問い合わせ
 受付時間: 9:30 ~翌1:00(年中無休)
メールでのお問い合わせ
 受付時間: 24時間365日(年中無休)
-----
変更された情報は、以下のページよりご確認いただけます。
■楽天会員情報の管理画面
https://member.id.rakuten.co.jp/rms/nid/menufwd
【メールアドレスを変更された場合】
セキュリティ確保の観点から、変更前のメールアドレスにもこのメールを
送信させていただいております。
=====
※当社の個人情報の取扱いについては「個人情報保護方針」をご覧ください。
https://privacy.rakuten.co.jp/
※本メールは送信専用です。
ご返信いただきましてもお答えできませんのでご了承ください。
━━━━━
■楽天株式会社

件名 カード利用のお知らせ / 【重要】カスタマセンターからのご案内【楽天カード株式会社】
送信者 楽天カード株式会社 <support@mail.rakuten-card.co.jp>

━━━━━
【重要】カスタマセンターからのご案内
━━━━━
平素は、楽天カードをご愛顧賜り誠にありがとうございます。
当社からの重要なご案内をお送りいたしますので、
下記内容をご確認いただきますよう、何卒お願い申し上げます。
ただいま、お客様からの変更処理に基づいて会員登録情報が変更されました。
万が一、本メールの内容に覚えがない場合には以下までお問い合わせください。
{https://www.rakuten-card.co.jp/guide/securityinfo[数字]
https://www.rakuten-card.co.jp/e-navi/members/information/customer/[数字]

※このメールはお客様の会員登録の情報が変更されたことをお知らせする重要なご連絡です。
━━━━━
<お問い合わせ先>
楽天カード株式会社 カスタマセンター
電話番号:0570-[数字]-[数字]
(一部ご利用いただけない場合は092-[数字]-[数字]をご利用ください。)
営業時間:8:15-20:40
━━━━━
※このメールの送信アドレスは送信専用となっておりますので、
本メールへのご返信はご遠慮いただきますようお願いいたします。
━━━━━
発行元  楽天カード株式会社
件名の 「会員情報変更のお知らせ」 に対して 「ご請求を詳しく説明してください」 というワケ分からん矛盾した指示になってはいます。

ただ、機械翻訳を噛ましたような怪しすぎる不自然な日本語の文章でもなく、かなり巧妙な詐欺メールです。 <メール無視するのが困難

感染手口はスクリプトファイル

この偽楽天メールに添付ファイルは付いてません。

代わりに、詐欺メール本文中の次のフレーズがリンクになっていて、ユーザーにポチッとクリックさせることを攻撃者は狙ってます。
  • こちらをクリックして、ご請求を詳しく説明してください
  • https://member.id.rakuten.co.jp/ ~
  • https://www.rakuten-card.co.jp/ ~」
  • チャットでのお問い合わせ
  • メールでのお問い合わせ
手元でクリックしてみると、楽天カード株式会社や楽天市場のフィッシング詐欺サイトが表示されることはなく、不審なファイルのダウンロードになります。

イメージ 1
詐欺メールのリンクからファイルのダウンロード

このファイルの解凍・展開作業を行って中身を確認すると、次のような Windows の スクリプトファイル拡張子 .js) が登場します。

イメージ 6

イメージ 2

イメージ 5

【楽天偽装メールで受け取ったファイル例】
楽天カードからのお知らせ.zip
詳細情報楽天銀行.zip
楽天カード株式会社の重要な情報.zip
楽天銀行の重要な情報.zip
料金明細をチェック.DOC.js (twqgbbdj.DOC.js
楽天カードからのお知らせ.DOC.js (rxfijnxwmnxd.DOC.js
楽天カード株式会社の重要な情報.PDF.js
(rxfijqzwuwpxsvj.PDF.js
楽天カード株式会社の重要な情報.DOC.js (rxfijqzwuwpxsvj.DOC.js
楽天銀行の重要な情報.PDF.js (rxmawpxsvj.PDF.js

「~.DOC.js」「~.PDF.js」 というファイル名は ”二重拡張子” と呼ばれるトリックで、Windows で ファイルの拡張子を表示する設定 が無効のままではワード文書やPDF文書と誤認してしまうのを狙ってます。

ネットバンキングウイルスに感染!!!

この.jsファイルを Wndows パソコン上でポチポチッとダブルクリックして開くと攻撃処理が発動です。

手元で実際に動作確認してみたところ、ネットバンキングやクレジットカード会社の不正送金被害に繋がる深刻なマルウェア Ursnif(読み方 アースニフ、別名 Dreambot) に感染します。

イメージ 4
jsファイルを開いた直後のプロセスの様子
powershell.exe が起動してダウンロードする処理

【不正なスクリプトファイル】
MD5 52443dccb7dc33feb194616dc64a4bf1
www.virustotal.com/ja/file/59b5974f1e85a8ed5d46d4eaafe3d0253b1b9854e6c87e5216e03c805d91c8fa/analysis/1509948004/

MD5 0ca5ea1fa8b190dbb784da90fd8338ed
www.virustotal.com/ja/file/35786105c37c964a3d7a392cccfd475968a0c1f2b7431135d338f56967ea4711/analysis/1510025217/

MD5 8fce66b200fdb969d565b79ca7b5b687
www.virustotal.com/ja/file/6e8e8a57fe7fe71028116307b7a663bc53af41a1f485acbcfdb931538758f31a/analysis/1510127037/


ESET JS/TrojanDownloader.Nemucod.DUH JS/TrojanDownloader.Agent.RBU JS/Kryptik.BIZ
Kaspersky HEUR:Trojan.Script.Agent.gen Trojan-Downloader.JS.Agent.ocz
Microsoft TrojanDownloader:JS/Nemucod
Symantec JS.Downloader!gen40 JS.Downloader Trojan Horse JS.Downloader
Trend Micro JS_POWLOAD.ELDSAUGY JS_POWLOAD.ELDSAUGL  JS_URSNIF.EL

【Ursnifウイルス】
MD5 16e77b773f93fc34cfd96f85bc5a91c8
www.virustotal.com/ja/file/2ae61221730ef12a4ef9c3f79536d40d5a89f8dc65fa7b64fb18478c1e752a19/analysis/1509948204/

MD5 5472a9db62047bf6fa814691e94db7e9
www.virustotal.com/ja/file/530ca8955b5cb50945ec1850c19724c59399dfccb4b6777ab7d76fd47f955205/analysis/1510026953/

MD5 3e89505d1c8a428290d7753205cf215b
www.virustotal.com/ja/file/3216b1be048030dbbd8b88e8081661cb25272557f63101a1b31e0314fe9d72d3/analysis/1510129008/

ESET Win32/Spy.Ursnif.AO
Kaspersky Trojan-Spy.Win32.Ursnif.ulw Trojan-Spy.Win32.Ursnif.umh Trojan-Spy.Win32.Ursnif.umw
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIRF TSPY_URSNIF.AUSIRG TSPY_URSNIF.AUSIRH

なお、この楽天偽メールはフィッシング詐欺が目的ではありません。

そのため、Windows パソコン以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー あたりは攻撃対象から外れて大丈夫です。

感染を防ぐ強力なウイルス対策2つ

ドコかしこで 『怪しいメールを開くな』『不審なリンクをクリックするな』 といった精神論のお話を見かけます。

ただ、感染するのは人間ではなく Windows パソコンです。

Windows パソコンに対策を施して、楽天ウイルスメールの感染手口に沿った ウイルス感染被害100%回避 を確実に達成する方法2つがコチラ!

【1】 スクリプトファイルの無害化

攻撃の成立する引き金は 『楽天メールを開封させて文章を読ませる』『楽天メール本文中のリンクをクリックさせる』 ではなく、それらはあくまで通過点です。

攻撃者の最初の目標は 『スクリプトファイル(拡張子 .js) を開かせる』 ことなので、そういう人為的ミスをやらかしても大丈夫になる無料ウイルス対策をあらかじめ行っておきます。 <お金もかからんし数分の作業で完了


【2】 ファイアウォールの活用

攻撃者は Ursnif ウイルスのダウンロード処理に Windows のシステムに用意されてる powershell.exewscript.exe を利用してます。

これはマイクロソフトの正規プログラムであることが災いしてセキュリティ製品からスリ抜けさせることに都合が良いからです。

そこで、powershell.exewscript.exe が悪用されることを見越してファイアウォールで外部通信をブロックしておくとものスゴく安心です。 <Windows に実装されてる Windows ファイアウォールでも無料で対処できる

関連するブログ記事

最終更新日: 2017/11/25