クレジットカード決済が完了しましたストアマッチ迷惑メールはウイルス 対策2つで感染防ぐ?

イメージ 1
Image いらすとや

不自然さがなく完成度の高い日本語の文章で書かれた怪しい 迷惑メール(スパムメール) が不特定多数に配信されてます。
実在企業を名乗る手口が特徴で、日本の会社名 「バリューコマース株式会社」「ROBOT PAYMENT」、インターネット広告のサービス名 「ストアマッチ」 が登場する偽メールがコチラ!
件名 クレジットカード決済が完了しました
送信者 <support@j-payment.co.jp>

この度はストアマッチをご利用いただき誠にありがとうございます。
クレジットカードでのお支払いが完了いたしました。
必ず、今回の入金処理結果を、ストアマッチ管理画面からご確認ください。
※お客様のインターネット接続環境や操作方法によっては正常に反映されない 場合がございます。
ストアマッチのログインID(メールアドレス)とパスワードで、
>>詳しくはこちら
詳細につきましては[予算管理]内、「入金履歴」よりご確認いただけます。
今後ともストアマッチを何卒宜しくお願いいたします。
-----
バリューコマース株式会社
ストアマッチ カスタマーサポート
ys-ad@valuecommerce[.]co.jp
-----
━━━━━
【決済番号 】24476653
【決済金額 】\1,500
【お支払方法 】一括支払い
【決済日時 】2017/11/06 13:11:52
【ご請求名 】ストアマッチ
【問合せ先 】 メール:support@j-payment[.]co.jp
>>こちらをクリックして、ご請求を詳しく説明してください<<
━━━━━
お問合せの際は、決済番号をお控えの上ご連絡頂けますようお願いいたします。
決済番号は大切に保管してください。
━━━━━
-----
(C)2017 ROBOT PAYMENT Inc.
手元に着弾したメールのヘッダーを見ると、表面的な差出人と異なる送信IP 178.80.147.143 を確認できました。 <地理的位置は中東のサウジアラビア

イメージ 3
日本企業から送信されてる体裁だけど実際には偽装

これはサウジアラビアのユーザーがメールを送りつけてるというより、サウジアラビアにあるウイルスに感染した Windows パソコンを攻撃者が遠隔操作し、スパム送信マシンに仕立て上げて悪用してるパターンが考えられます。

リンクから圧縮ファイル 中身は…

メールに添付ファイルはなく本文中にリンクが2ヶ所存在し、ここをユーザーにポチッと踏ませようとします。

仮にもクリックするとzip形式の圧縮アーカイブがダウンロードでき、解凍・展開してその中身を確認すると次のような スクリプトファイル(拡張子 .js) が登場します。

イメージ 2
「支払い情報をチェック.DOC.js
(hfgvjgbbdj.DOC.js

偽メールの目的は、この.jsファイルをWindowsパソコン上でポチポチッとダブルクリックして開いてもらうことであり、その結果としてネットバンキング不正送金被害で知られる Ursnifウイルス の感染です。

フィッシングサイトへ誘導する詐欺メールではなく、攻撃対象も Windows パソコンに限られるので、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんの環境は大丈夫となります。

効果的に感染を防ぐウイルス対策2つ

「怪しいメールを開くな」「リンクをクリックするな」 的な気合で乗り切る精神論ではなく、ウイルス感染手口を成立させず100%感染しない方法2つがコチラ。

【1】 スクリプトファイルの無害化対策

攻撃者は スクリプトファイル(拡張子 .js/.vbs/.wsf) を開かせようとしてます。

そこでファイルの関連付けをあらかじめ変更してくと、不正なスクリプトファイルの攻撃を一発で無にできます。 <Windows の設定を変えるだけなので無料


【2】 ファイアウォールを活用する対策

マルウェアのダウンロード処理に Windows の正規プログラム powershell.exewscript.exe が悪用されてます。

そこで、ファイアウォールを使いあらかじめ通信ブロックに登録しておくと悪用された場合も攻撃処理が機能しません。 <稼働してるファイアウォールの種類が Windows ファイアウォールでも無料で対処が可能

関連するブログ記事