三井住友銀行ValueDoor電子認証設定迷惑メールはウイルス 対策2つで感染防ぐ？

Image いらすとや

実在する企業や銀行を勝手に名乗った怪しい 迷惑メール（スパムメール） が無差別に配信されてます。

• [佐川急便]　請求内容確定のご案内
• お支払いが確認できませんでした
• 【取組同意完了のご確認】オリックス・クレジット
• 【重要】カスタマセンターからのご案内【楽天カード株式会社】
• 口座振替日のご案内【楽天カード株式会社】(楽天カード)
• 【楽天カード】ご請求予定金額のご案内
• [楽天]会員情報変更のお知らせ
• クレジットカード決済が完了しました
• JCBカード2017年11月10日分お振替内容確定のご案内
• 【スルガ銀行】リザーブドプランカードお申込み
• 【重要】[三井住友銀行] Web21電子認証による振込承認時のワンタイムパスワード必須化について（2017年11月目途）
• 「みずほ銀行カードローン」仮申し込みの審査結果のご連絡
• ［三井住友銀行］ ValueDoor電子認証設定のお願い NEW!

件名 ［三井住友銀行］ ValueDoor電子認証設定のお願い
送信者 e-biz_info＠dn.smbc.co.jp
題名 ： ［三井住友銀行］ ValueDoor電子認証設定のお願い
差出人 ： e-biz_info＠dn.smbc[.]co.jp
アドレスブックに登録する
◇─────◇
管理者さまが本メールを受信された場合、
以下の手順でダウンロードIDをご確認いただき、下記対象者さまにお伝えいただくとともに、
本メールを下記対象者さまに転送または、印刷して手交願います。
＞詳しくはこちら
◇─────◇
　┏┯┯┯┯┯┯┯┯┯┯┓
　┠┏┷┷┷┷┷┷┷┷┷┛
　┠┨　　　　　電子認証の設定期限が迫っております。
　┠┨　─────
　┠┨　　　　　　電子認証の設定を行ってください。
　┠┨　─────
　┠┨　設定期限を過ぎますと、申込書もしくは「Web申込」による
　┠┨　お手続が必要となりますので、お早めに設定してください。
　┠┗┯┯┯┯┯┯┯┯┯┓
　┗┷┷┷┷┷┷┷┷┷┷┛
　┏─────
　│【ValueDoorID】　　[数字]
　│【有効期限】　　　　2017年11月27日まで
　┗─────
　┏━━━━━━━━━━╋
　☆　管理者さまの作業　☆　
　╋━━━━━━━━━━┛
　│＜ダウンロードIDを対象者さまへ通知＞
　│１．管理専用IDにてログイン
　│２．「利用者IDの管理」＞「IDの照会」メニュー
　│　　もしくは「管理専用IDの管理」＞「IDの照会」メニューをクリック
　│３．ValueDoorID一覧から上記ValueDoorIDの電子認証ダウンロードIDを確認
　│４．対象者さまにダウンロードIDを通知
　│※申込書でお手続きされた場合は、先般、管理者さまあてに郵送いたしました
　│　『「ValueDoor」契約登録のお知らせ』でもご確認いただけます。
　┗━━━━━
　┏━━━━━━━━━━╋
　☆　対象者さまの作業　☆
　╋━━━━━━━━━━┛
　│＜利用する端末に電子認証を設定＞
　│１．設定にあたっては、下記URLの「ValueDoorのご利用環境」にて、
　│　　ご利用可能な端末かご確認をお願いします。
　│　　【ValueDoorのご利用環境はこちら】
　│２．電子認証の設定は下記URLの「電子認証の新規設定・更新」の「新規設定」ボタンを
　│　　クリックして行います。申込書に記載した初期パスワードと、
　│　　管理者より通知されるダウンロードIDを使用して設定してください。
　│　　【法人インターネットバンキング ValueDoorログインはこちら】
　│３．電子認証の設定方法は、下記URLの「2.電子認証の新規設定・更新」の
　│　　「(1)新規設定の操作手順」をご参照ください。
　│　　【電子認証設定マニュアルはこちら】
　┗━━━━━
（ご注意）
　・本メールと行き違いで、すでに電子認証を設定いただいた場合は、何卒ご容赦ください
　　ますようお願いします。
　・電子認証を設定した端末やパスワードは、お客さまを確認させていただくために重要な
　　ものです。厳重に管理してください。
　・本メールアドレスは送信専用です。ご返信・お問合せはお受けしておりません。
　・金融機関等を装う電子メールにご注意ください。
　　「三井住友銀行」名でお送りするメールには、携帯電話向けを除いてすべて電子署名を
　　付けています。電子署名の確認方法等、メールのセキュリティについては、当行の
　　ホームページをご覧ください。
2017/10/20
三井住友銀行
━━━━━
□三井住友銀行のValueDoor電子認証センター□
　電話番号　０１２０－１１５－[数字]
　受付時間　９：００～１９：００（銀行休業日を除く、月～金曜日）
━━━━━

メールに添付ファイルはなく、本文中に登場する 「こちら」「ログイン」 リンク5ヶ所をユーザーにポチッとクリックさせようとしてます。

「セキュリティ情報.zip」

このzip圧縮ファイルの中身は下のような Windows の スクリプトファイル（拡張子 .js） となってて、ユーザーにPDF文書と誤認させようと二重拡張子になってることも分かります。 ＜ファイルの種類に注意を払おう対策

この.jsファイルをWindowsパソコン上でポチポチッとダブルクリックすると、外部ネットワークから Ursnifウイルス をダウンロードしてきてシレッと感染する攻撃処理の発動です。 ＜ネットバンキング不正送金被害で暗躍するマルウェア！

スクリプトファイルを開いた直後のプロセスの様子

ESET JS/TrojanDownloader.Agent.RDB
Kaspersky HEUR:Trojan.Script.Agent.gen
Microsoft TrojanDownloader:JS/Nemucod
Symantec JS.Downloader
Trend Micro JS_POWLOAD.ELDSAUHB

【Ursnifウイルス】
997fe4183c929eb89c41b02ac8fbf2e1
www.virustotal.com/ja/file/9e1b6ba8e026f46b9f092a907589a5feebccc9d03f263711e71e093f9ca9cd38/analysis/1511243260/

ESET Win32/Kryptik.FZGV
Kaspersky Trojan-Spy.Win32.Ursnif.uqy
Microsoft Trojan:Win32/Krilog.A
Symantec Trojan.Gen.2
Trend Micro TSPY_URSNIF.AUSIRN

なお、Mac OS X、Androidスマホ、iOS（iPhone/iPad）、ガラケー といった環境はファイルの動作環境でもなく攻撃対象外となり大丈夫です。

強力なウイルス対策で感染防ぐ方法2つ

「不審なメールを開くな」「怪しいリンクをクリックするな」 とは言うものの、それができないユーザーさんも一定数いるはずです。

次のウイルス対策は、どんだけヒューマンエラーを起こしても100％確実にウイルス感染しない方法2つになります。

【1】 不正なスクリプトファイルの無効化

メール攻撃者は スクリプトファイル（拡張子 .js） を開いてもらうのを狙ってます。

あらかじめスクリプトファイルの関連付けを変更しておくと不正なスクリプトを使った攻撃はいっさい通用しません。 ＜Windows の設定を変えるだけで無料

⇒ 【感染不能】無料ウイルス対策3つでjs/jse/wsf/vbs拡張子ファイル無害化

【2】 ファイアウォール活用

メール攻撃者はマルウェアのダウンロード処理に正規プログラム Windows PowerShell（powershell.exe） を悪用してます。

この実行ファイルが意図せず悪用されないよう、あらかじめファイアウォールで通信ブロックに登録しておくと攻撃は通用しません。 ＜標準で実装されてる Windows ファイアウォールでも無料で対策できる♪

⇒ ファイアウォールの設定で実行ファイル通信ブロック ウイルスメール対策に効果

関連するブログ記事

・ 無料ウイルス・スパイウェア検査ツール5つ Windows 7/8/10マルウェア駆除も対応

・ Ursnif/Dreambotウイルス感染 対策&駆除でネットバンキング不正送金被害防ぐ