最終更新日 2018年12月25日
実在の株式会社騙る迷惑メール3つ ワード文書ウイルス対策2つで感染防ぐ?
成りすましでヒドい! 

日本国内に実在する企業 「株式会社ジャパントラスト」「映音堂」 といった社名を騙った日本語表記の怪しい 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。 



件名 Re:お振込口座変更のご連絡
添付ファイル お振込口座変更のご連絡.doc
経理ご担当者様
いつも大変お世話になっております。
株式会社ジャパントラストの佐々木です。
今月分のご入金より振込口座の変更をさせていただきたいのですが、
ご対応可能でしょうか?
新たな振込先に関しましては、
現在、手続き中で11月23日に完了予定となります。
本日中に仮のご請求書データをお送り致しまして
手続き完了次第、正式なご請求書データをお送り致します。
急なご連絡になってしまい大変申し訳ございませんが、
ご対応をいただけますと大変助かります。
今後とも何卒よろしくお願いいたします。
━━ JapanTrast ,Inc. ━━
映音堂 大橋邦夫(Kagono Ohashi Kunio)
TEL/FAX:076-482-[数字]
mobile:090-2833-[数字]
mail:kunio@jpntrust[.]co.jp
URL: www[.]jpntrust.co.jp
〒105-0013
東京都港区浜松町1-12-[数字] 第2長谷川ビル2階
名前のない佐々木さんはともかく、メール下部に登場する 大橋さん と、その大橋さんの 携帯電話の番号 は、検索してみると架空ではない本物のようです。 

さらに、同じように日本国内に実在する企業 「株式会社アドマック」 を騙る 迷惑メール(スパムメール) も紹介しましょう。
件名 12月、原価請求書です。
添付ファイル 原価請求書です[数字].doc
いつも大変お世話になっております。
株式会社アドマック の前田 拓磨でございます。
12月度分のご請求書を添付致しましたので
お手数お掛け致しますがご確認をお願い致します。
問題ないようでしたら、押印後のPDFをお送りしておりますので
こちら原本として受領頂けますと幸いです。
ご郵送が必要な場合はご連絡頂けますよう宜しくお願い致します。
取り急ぎご用件のみではございますが
今後とも、何卒宜しくお願い申し上げます。
株式会社 アドマック ADMAC
http://www.admac[.]co.jp/
営業本部
営業推進部
前田 拓磨 MAEDA TAKUMA
本社 〒920-0864 金沢市高岡町23-[数字]
TEL:076-222-[数字] FAX:076-222-[数字]
mobile:090-6818-[数字] e-mail:maeda@admac[.]co.jp
検索してみると、この 前田さん は株式会社アドマックにホント在籍してる人物のようで、架空ではないという…。
最後に、同じように日本国内に実在する企業 「株式会社スーパーツール」 を騙る 迷惑メール(スパムメール) です。
件名 Re: ヴィスト修正
添付ファイル 原価請求書です[数字].doc
平素より大変お世話になっております。
株式会社スーパーツールの川渕 太一でございます。
ご請求書を添付ファイルにてお送りさせて頂きますので
大変お手数ですが、ご確認をお願い致します。
内容に問題がないようでしたら原本を送付させて頂きますので
大変お手数ですが、ご返信メールを頂けますでしょうか。
尚、大変お手数ですがご返信の際は"全返信"にてご対応をお願い致します。
※ご返信を頂けない場合は、原本郵送させて頂きます。
以上、用件のみで誠に恐縮では御座いますが
今後とも、何卒宜しくお願い致します。
☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
株式会社スーパーツール 福岡営業所
川渕 太一 (Taichi Kawabuchi)
〒812-0016
福岡県福岡市博多区博多駅南3-10-[数字]
TEL (092)431-[数字] FAX:(092)431-[数字]
mobile:090-8425-[数字] e-mail:kawabuti@supertool[.]co.jp
☆★☆★☆★☆★☆★☆★☆★ SUPERTOOL ☆★
これも 川渕さん は 『弊社社員になりすました迷惑メール』 と注意喚起されてることから、実在の人物の名前が使われてるようです。
日本語の文章としての文法的な不自然さは皆無と言ってよく、無視するのが極めて困難なものスゴい巧妙な迷惑メール(スパムメール)と言えます。
■ 名前を挙げられた人物や企業は無関係!
いずれにしても、これら迷惑メールに登場する人物名、会社名、ホームページの URL、所在地、電話番号は、メール攻撃者によってデッチ挙げられてる悪用です。
名前だけ勝手に使われて風評被害たまったもんじゃないはずで、「間違いメールがなぜか自分のところに届いた」「この会社のメールサーバーがハッキングされてる」 とか誤解しませぬよう…。 

添付ファイルはワード文章 正体は
巧妙な迷惑メールには、添付ファイルとして Microsoft Office の Word ファイル(拡張子 .doc) が付いてました。
その実物画像がコレ♪

「お振込口座変更のご連絡.doc」
本当に単なる文書にしか見えません。
実際には、これが不正な Word ファイルであり、その正体はいわゆる マクロウイルス と呼ばれてる脅威です。
■ マクロを有効化せる巧妙なトラップ
この .doc ファイルを Microsoft Word で開いてみると、文書上に次のような日本語の案内メッセージがパッと表示されます。

手動でマクロを有効にさせる案内メッセージ
【マクロを許可させる誘導メッセージ】
Microsoft Office すこし問題がありました。Office バージョンの問題により、ファイルのコンテンツをご閲覧頂けません。説明の通りにお行いください。無題な濃いログ 上の黄色いバーの「編集を有効にする」ボタンをクリックしてください。編集の後、黄色バーの「コンテンツの有効化」ボタンをクリックしてください。無題な濃いログ 以上の操作を完成後、officeの保護下、ファイルのコンテンツをご閲読頂けます。
何か日本語の文章がビミョーに変ですな。 

それでも、この案内メッセージはものスゴい巧妙なトラップで、Microsoft Office はデフォルトで無効になってるマクロをユーザーの心を操ることで有効化させる ことに結びつきます。 

つまり、この案内メッセーが攻撃者の仕込んだウソ情報であることに気付かず、文書ファイルを正しく表示する作業と思い込んで、Microsoft Office の [コンテンツの有効化] ボタン をポチッとな…。
これにより、Windows PC はトンデモない危険な状態へと陥落です。 



ネットバンキングウイルスに感染!
手元の Windows 環境でマクロを故意に許可して動作確認してみました。
…すると、Windows PowerShell を介して外部ネットワークに接続を試み、Ursnif と呼ばれてるコンピュータウイルスの実行ファイルがこっそりダウンロードされて、シレッと起動して感染することが確認できました。 

感染した直後の Windows のプロセスの様子がコチラ♪

PowerShell を介して実行ファイルのダウンロード
迷惑メール 「お振込口座変更のご連絡」「件名 12月、原価請求書です。」「Re: ヴィスト修正」 の目的は?
日本国内のユーザーをターゲットに、ネットバンキング不正送金被害やクレジットカード不正利用で暗躍するマルウェア Ursnif の感染を意図する攻撃なのです。 

■ スマホはウイルス感染大丈夫?
感染攻撃ターゲットは Windows XP/Vista/7/8/10 パソコンに限定されます。
それ以外の Mac OS X、Android スマホ、iOS(iPhone/iPad)、ガラケー といった環境では、いっさい動作しないファイル形式が投入されてるので大丈夫♪ 



感染防ぐ無料ウイルス対策2つ
Microsoft Office の文書ファイルは…
- メールでやり取りされても不自然ではないファイル形式
- ユーザーが表面的に文書ファイルの内容を把握するのが100%不可能
そんなところで 『怪しいメールを開くな』『不審なファイルを開くな!』 みたいな ”気合で何とかしろ” 的なことを言われても、そういうウイルス対策は ”うっかり” やらかして感染するユーザーさんには難易度の高い要求なのが現実です。 

そこで、不正な文書ファイルをうっかり開いても、100%確実に感染被害を喰らわなくする、最強の Windows 向けウイルス対策2つをバシッと紹介しましょう。 
ヒューマンエラー上等!


【1】 マクロを完全に無効化するウイルス対策
メール攻撃者は Microsoft Office ファイルのマクロ機能を悪用します。
これは人間が無警戒に開いてしまうこと以外に、セキュリティ製品のスリ抜けにも都合が良いからです。
そこで、Microsoft Word や Microsoft Excel の設定を変更して、マクロを完全に無効化しておきましょう。
この作業をやっておくと、以降はマクロウイルスの手口はいっさい通用しない状態へ持っていけます。
<セキュリティの設定を変更する数分の作業だけ

【2】 ファイアウォールを活用するウイルス対策
メール攻撃者はマルウェアのダウンロード処理に Windows の正規プログラム Windows PowerShell を悪用してきます。
これはセキュリティ製品のスリ抜けにかなり都合が良いからです。
そこで、この実行ファイル powershell.exe をあらかじめファイアウォールで通信ブロック対象に登録しておくと、ものスゴく安心です。
<標準で実装されてる Windows ファイアウォールでも無料対策デキル♪

セキュリティトピックス
攻撃者はセキュリティソフトが検出できない亜種をわざわざ準備してきて、お遊びでやってるワケでもないから、セキュリティ会社に安々と感染攻撃を妨害されないよう努力してます。 

【ワード文書ファイル】
84b21f7ccad8d3a0c0ab220873ab992d
www.virustotal.com/ja/file/d731bd6d4c10018895f062facadff8ce028b87a0e5a6d74c9ffc99cf71fe14c2/analysis/1511294112/
ESET VBA/TrojanDownloader.Agent.FLE
Kaspersky Trojan-Downloader.MSWord.Agent.btd
Microsoft Trojan:Win32/Sonoko.A!ms
Symantec W97M.Downloader
Trend Micro W2KM_POWLOAD.AUSJVH
Kaspersky Trojan-Downloader.MSWord.Agent.btd
Microsoft Trojan:Win32/Sonoko.A!ms
Symantec W97M.Downloader
Trend Micro W2KM_POWLOAD.AUSJVH
【Ursnifウイルス】
509e341138ad5e2477ed728f1859bcea
www.virustotal.com/ja/file/a39d73861553484263b6c85496a6be16fa71cd17afb3abaa34551f7deabf7f69/analysis/1511296200/
ESE Win32/Kryptik.FZGV
Kaspersky Trojan-Spy.Win32.Ursnif.usj
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIRO
Kaspersky Trojan-Spy.Win32.Ursnif.usj
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIRO
コメント