NODご購入手続き完了NHKオンデマンド迷惑メールはウイルス 対策2つで感染防ぐ?

イメージ 2
Image いらすとや

実在する企業や銀行を勝手に名乗り、完成度の高い日本語の文章で書かれてある怪しい 迷惑メール(スパムメール) が無差別に配信されてます。

NHK の動画配信サービス 「NHKオンデマンド室 NOD」 を騙り番組映像 「ドキュメント72時間」 を購入した通知を装う偽メールがコチラ!
件名 【 NOD 】 ご購入手続き完了のお
送信者 <purchase@ml.nhk-ondemand.jp>

この度は、『NHKオンデマンド』をご利用頂き
誠にありがとうございました。
以下の通り、購入手続きが完了しました。
-----
[商品名] ドキュメント72時間
[お問い合せ番号] [数字]-[数字]
[ご購入年月日] 2017年11月23日
[ご利用額合計(税込み)] ご利用金額 108 円
[ご利用条件] 購入後 1日0時間まで
[お支払い方法] クレジットカード
※キャンペーンご利用の方は、ログイン後
マイコンテンツでご確認下さい。
-----
<ヘルプ・お問い合わせ>
本メールに記載されたご注文内容に誤り、ご質問等がありましたら、
お手数ですが、下記の問合せフォームより、必要事項をご記入の上
お問合せいただきますようお願い申し上げます。こちら
<コンテンツの利用等について>
ご購入いただいたコンテンツは以下のマイページよりご確認及びご利用頂けます。
https://www.nhk-ondemand.jp/user/index.html
本メールは、『NHKオンデマンド』で、商品をご購入のお客さまにお送りしています。
 今後とも、『NHKオンデマンド』をご愛顧いただきますよう
お願い申し上げます。
■────■
サービス運営:NHKオンデマンド室
 http://www.nhk-ondemand.jp/
*このメールの返信によるお問い合わせは受け付けておりません。
Copyright NHK ( Japan Broadcasting Corporation )
All rights reserved. 記事の無断転載を禁じます。
■────■

なぜかメールの件名が 「~完了のお」 で尻切れてます。 <なぜ

サッパリ見に覚えのない購入手続き完了で動揺させて、誘導リンク 「マイコンテンツでご確認下さい。」「こちら」 の2ヶ所をユーザーにポチッとクリックさせることが攻撃者の狙いです。 <添付ファイルはなし

感染手口はスクリプトファイル

仮にリンクをクリックすると、NHKオンデマンドを装う詐欺サイトが表示されることはなく、zip形式の圧縮アーカイブのダウンロードを促されます。

イメージ 1
「注文内容をチェック.zip」

このzip圧縮ファイルを解凍・展開して中身を確認すると、次のような Windows の スクリプトファイル(拡張子 .js) でした。

イメージ 4
「料金明細をチェック.DOC.js
(jtwqgbbdj.DOC.js

仮にも、この.jsファイルをWindowsパソコン上でポチポチッとダブルクリックしてしまうと、外部ネットワークより Ursnifウイルス(別名 Dreambot) をダウンロードしてきて感染させる処理の発動です。 <ネットバンキング不正送金被害で暗躍するマルウェア!

イメージ 3
Ursnifウイルス(緑)感染直後のプロセスの様子

【不正なスクリプトファイル】
MD5 92ee831243428094a092d7ec5c5e0116
www.virustotal.com/ja/file/5ab9095cf3596b2c6b8e1a6f9494cfa73db75d37fac7b95687550ebb27cab243/analysis/1511423125/

MD5 d392e64376f28850030c29422d9e31b7
www.virustotal.com/ja/file/28c13a1478be204859b00914527f9d81d08d538532ec59e5f7fb4b07525baf34/analysis/1511499515/

ESET VBS/TrojanDownloader.Agent
Kapsersky Trojan-Downloader.JS.Agent
Microsoft Trojan:Win32/Sonoko.A!ms
Symantec JS.Downloader Trojan Horse
Trend Micro JS_NEMUCOD.ELDSAUUR JS_FORMERS.AL

【Ursnifウイルス】
MD5 6cdd102fba60f874df2ce6ebdedc8cbd
www.virustotal.com/ja/file/8f81d70722e64a66cd29acd19e175a1b600c474fd52bd05482a2d5d9ad28f679/analysis/1511501514/

ESET Win32/Spy.Ursnif
Kapsersky Trojan-Spy.Win32.Ursnif
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIRP


スマホは大丈夫?

NHK に成りすました詐欺メール「【 NOD 】 ご購入手続き完了のお」 はフィッシングメールでもなく、投入されたファイルは Windows 向けの形式です。

そのため、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境は影響なく大丈夫と♪

強力なウイルス対策で感染防ぐ

怪しいファイルを開くな!』  とは言うものの、それが必ずしもできないユーザーさんも一定数いるはずです。

そういう心配を払拭するため、どんだけヒューマンエラーを起こしても100%確実に感染しえない Windows 向けの効果的な ウイルス対策2つ がコチラ~。

【1】 スクリプトファイルの無害化

詐欺メールの攻撃者は スクリプトファイル(拡張子 .js/.vbs/.wsf) をユーザーに開いてもらうのを狙ってます。

そこで、あらかじめファイルの関連付けを変更しておくと、不正なスクリプトファイルを使った攻撃がいっさい通用しません。 <Windows の設定を変えるだけなので無料

【2】 ファイアウォールの活用

詐欺メールの攻撃者はマルウェアのダウンロード処理に正規プログラム wscript.exepowershell.exe を悪用します。

そこで、これら正規プログラムをあらかじめファイアウォールの通信ブロックとして登録しておくと悪用されなくなり安心です。 <標準実装されてる Windows ファイアウォールでも無料で対策が可能♪