三井住友銀行ValueDoor電子認証設定迷惑メールはウイルス 対策2つで感染防ぐ?

イメージ 3
Image いらすとや

実在する企業や銀行を勝手に名乗った怪しい 迷惑メール(スパムメール) が無差別に配信されてます。
三井住友銀行の法人インターネットバンキングサービス ValueDoor を騙った偽メールがコチラ!
件名 [三井住友銀行] ValueDoor電子認証設定のお願い
送信者 e-biz_info@dn.smbc.co.jp

題名 : [三井住友銀行] ValueDoor電子認証設定のお願い
差出人 :
e-biz_info@dn.smbc[.]co.jp
アドレスブックに登録する
◇─────◇
管理者さまが本メールを受信された場合、
以下の手順でダウンロードIDをご確認いただき、下記対象者さまにお伝えいただくとともに、
本メールを下記対象者さまに転送または、印刷して手交願います。
>詳しくはこちら
◇─────◇
 ┏┯┯┯┯┯┯┯┯┯┯┓
 ┠┏┷┷┷┷┷┷┷┷┷┛
 ┠┨     電子認証の設定期限が迫っております。
 ┠┨ ─────
 ┠┨      電子認証の設定を行ってください。
 ┠┨ ─────
 ┠┨ 設定期限を過ぎますと、申込書もしくは「Web申込」による
 ┠┨ お手続が必要となりますので、お早めに設定してください。
 ┠┗┯┯┯┯┯┯┯┯┯┓
 ┗┷┷┷┷┷┷┷┷┷┷┛
 ┏─────
 │【ValueDoorID】  [数字]
 │【有効期限】    2017年11月27日まで
 ┗─────
 ┏━━━━━━━━━━╋
 ☆ 管理者さまの作業 ☆ 
 ╋━━━━━━━━━━┛
 │<ダウンロードIDを対象者さまへ通知>
 │1.管理専用IDにてログイン
 │2.「利用者IDの管理」>「IDの照会」メニュー
 │  もしくは「管理専用IDの管理」>「IDの照会」メニューをクリック
 │3.ValueDoorID一覧から上記ValueDoorIDの電子認証ダウンロードIDを確認
 │4.対象者さまにダウンロードIDを通知
 │※申込書でお手続きされた場合は、先般、管理者さまあてに郵送いたしました
 │ 『「ValueDoor」契約登録のお知らせ』でもご確認いただけます。
 ┗━━━━━
 ┏━━━━━━━━━━╋
 ☆ 対象者さまの作業 ☆
 ╋━━━━━━━━━━┛
 │<利用する端末に電子認証を設定>
 │1.設定にあたっては、下記URLの「ValueDoorのご利用環境」にて、
 │  ご利用可能な端末かご確認をお願いします。
 │  【ValueDoorのご利用環境はこちら
 │2.電子認証の設定は下記URLの「電子認証の新規設定・更新」の「新規設定」ボタンを
 │  クリックして行います。申込書に記載した初期パスワードと、
 │  管理者より通知されるダウンロードIDを使用して設定してください。
 │  【法人インターネットバンキング ValueDoorログインはこちら
 │3.電子認証の設定方法は、下記URLの「2.電子認証の新規設定・更新」の
 │  「(1)新規設定の操作手順」をご参照ください。
 │  【電子認証設定マニュアルはこちら
 ┗━━━━━
(ご注意)
 ・本メールと行き違いで、すでに電子認証を設定いただいた場合は、何卒ご容赦ください
  ますようお願いします。
 ・電子認証を設定した端末やパスワードは、お客さまを確認させていただくために重要な
  ものです。厳重に管理してください。
 ・本メールアドレスは送信専用です。ご返信・お問合せはお受けしておりません。
 ・金融機関等を装う電子メールにご注意ください。
  「三井住友銀行」名でお送りするメールには、携帯電話向けを除いてすべて電子署名を
  付けています。電子署名の確認方法等、メールのセキュリティについては、当行の
  ホームページをご覧ください。
2017/10/20
三井住友銀行
━━━━━
□三井住友銀行のValueDoor電子認証センター□
 電話番号 0120-115-[数字]
 受付時間 9:00~19:00(銀行休業日を除く、月~金曜日)
━━━━━
機械翻訳による不自然な表現もなく完成度の高い日本語の文章で書かれていて、企業から送信されてきても違和感のない凝ったテキスト装飾も使われてたりイヤらしいーです。

スクリプトファイルを開かせる手口

メールに添付ファイルはなく、本文中に登場する 「こちら」「ログイン」 リンク5ヶ所をユーザーにポチッとクリックさせようとしてます。

仮にリンクをクリックすると、三井住友銀行を装った詐欺サイトが表示されることはなく、zip形式の圧縮アーカイブのダウンロードを促されます。

イメージ 1
「セキュリティ情報.zip」

このzip圧縮ファイルの中身は下のような Windows の スクリプトファイル(拡張子 .js) となってて、ユーザーにPDF文書と誤認させようと二重拡張子になってることも分かります。 ファイルの種類に注意を払おう対策

イメージ 2
解凍すると「セキュリティ情報.PDF.js
(vhlqgxvj.PDF.js

この.jsファイルをWindowsパソコン上でポチポチッとダブルクリックすると、外部ネットワークから Ursnifウイルス をダウンロードしてきてシレッと感染する攻撃処理の発動です。 <ネットバンキング不正送金被害で暗躍するマルウェア!

イメージ 4
スクリプトファイルを開いた直後のプロセスの様子

【不正なスクリプトファイル】
5c91985d837bda1f85383deb052d844e
www.virustotal.com/ja/file/a076fbb3aae4d57ed9b4768152285430c7387e4f8ad99920f5ac3873ffb53063/analysis/1511173134/

ESET JS/TrojanDownloader.Agent.RDB
Kaspersky HEUR:Trojan.Script.Agent.gen
Microsoft TrojanDownloader:JS/Nemucod
Symantec JS.Downloader
Trend Micro JS_POWLOAD.ELDSAUHB

【Ursnifウイルス】
997fe4183c929eb89c41b02ac8fbf2e1
www.virustotal.com/ja/file/9e1b6ba8e026f46b9f092a907589a5feebccc9d03f263711e71e093f9ca9cd38/analysis/1511243260/

ESET Win32/Kryptik.FZGV
Kaspersky Trojan-Spy.Win32.Ursnif.uqy
Microsoft Trojan:Win32/Krilog.A
Symantec Trojan.Gen.2
Trend Micro TSPY_URSNIF.AUSIRN

なお、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境はファイルの動作環境でもなく攻撃対象外となり大丈夫です。

強力なウイルス対策で感染防ぐ方法2つ

「不審なメールを開くな」「怪しいリンクをクリックするな」 とは言うものの、それができないユーザーさんも一定数いるはずです。

次のウイルス対策は、どんだけヒューマンエラーを起こしても100%確実にウイルス感染しない方法2つになります。

【1】 不正なスクリプトファイルの無効化

メール攻撃者は スクリプトファイル(拡張子 .js) を開いてもらうのを狙ってます。

あらかじめスクリプトファイルの関連付けを変更しておくと不正なスクリプトを使った攻撃はいっさい通用しません。 <Windows の設定を変えるだけで無料

【2】 ファイアウォール活用

メール攻撃者はマルウェアのダウンロード処理に正規プログラム Windows PowerShell(powershell.exe) を悪用してます。

この実行ファイルが意図せず悪用されないよう、あらかじめファイアウォールで通信ブロックに登録しておくと攻撃は通用しません。 <標準で実装されてる Windows ファイアウォールでも無料で対策できる♪