最終更新日 2018年7月25日

楽天カード定期的なIDパスワード変更迷惑メールはウイルス 対策2つで感染防ぐ

イメージ 1
Image いらすとや

実在する企業や銀行を勝手に名乗って、非常に完成度の高いキッチリとした日本語の文章で書かれた怪しい 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

もっともらしいセキュリティ注意喚起を装いつつ、実際には詐欺メールです。

楽天銀行楽天カード株式会社 を騙った危険な迷惑メールがコチラ!
件名 【重要】不正送金・フィッシング対策ソフト「PhishWallプレミアム」提供開始について
送信者 楽天銀行 <myinfo@rakuten.co.jp>

尊敬するお客様
いつ楽天銀行をご利用いただき誠にありがとうございます。
楽天銀行では平成11月29日(水)より当行のホームページや「道銀ダイレクトサービス」をより安心してご利用いただけるよう、不正送金・フィッシング対策ソフト「PhishWallプレミアム」の提供を開始しました。
無料でご利用いただけるサービスですので、是非インストールしてご利用くださいますようお願い申し上げます。
なお、既に他社サイト等で「PhishWallプレミアム」をインストールされている場合は、あらためてインストールする必要はございません。
もっと詳しくの情報はこちら
◆本メールのアドレスは送信専用となっております。
 返信メールでのお問い合わせは承りかねますので、あらかじめご了承願います。
件名 【重要】定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意を
送信者 楽天カード株式会社 <info@mail.rakuten-card.co.jp> <rakuten_alert@freetoper.loan> <rakuten_information@freetoper.loan> <rakuten_card_information@freetoper.accountant> <rakuten_card_information@freetoper.download>
User Agent Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.2.0

━━━━━
【重要】カスタマセンターからのご案内
━━━━━
(ご注意:本メールにご返信頂くことはできません。)
平素は、楽天カードをご愛顧賜り誠にありがとうございます。
当社からの重要なご案内をお送りいたしますので、
下記内容をご確認いただきますよう、何卒お願い申し上げます。
本メールは重要なお知らせのため、メール配信を希望されていない方にもお送りしております。
-----
【1】クレジットカードの不正使用にご注意ください
-----
国内においてもインターネット上でのクレジットカードの不正被害が発生しております。
当社では、お客さまに安心してクレジットカードをご利用いただくため、
不正使用検知システムを導入し、24時間365日体制でモニタリング(不正使用の監視)
を行っておりますが、万が一、お心当たりのないご利用や不審な点がございましたら、
下記窓口までお問合せください。
なお、モニタリングにおいて、不正使用の可能性が高いと思われるカード利用と判断
した場合には、そのお取引を保留させていただき、ご本人さまへ確認をさせていただく
ことがございます。
もっと詳しくの情報はこちら
http://rakuten-card.co.jp/secure/creditcards/[数字]
-----
【2】定期的なID・パスワード変更のお願い
-----
他人のID・パスワードを不正に入手し、本人になりすまして様々なWebサービスに
ログインを試みる行為が多発しております。会員の皆さまが、他のWebサービスと同
一のID・パスワードを、当社Webサービスにおいてもご利用されている場合、不正に
盗み取られたID・パスワードによって、オンラインショップ加盟店等でクレジット
カードを不正に使用されてしまうなど、思わぬ被害にあう可能性がございます。
○ID・パスワードに関するご注意点
(1) 複数のサイトで同一のID・パスワードを使用しない
(2) ID・パスワードは他人に教えない
(3) パスワードは英字・数字を組み合わせるなど、推測されやすいパスワード
  (名前・住所・生年月日・電話番号など)を使用しない
(4) パスワードは定期的に変更する
もっと詳しくの情報はこちら
http://rakuten-card.co.jp/secure/user_information/[数字]
-----
【3】コンピューターウイルスにご注意ください
-----
個人のパソコンがウイルスに感染したことにより、カード会社や銀行などの
Webサービスにログインしようとした際に、偽の画面が表示される事案が頻発し
ています。
このような偽の画面は、カード番号、有効期限、セキュリティコードなどのカード
情報を入力させ、本人になりすまして不正利用することを目的としています。
当社Webサイトでは、ログイン時にカード番号、有効期限、セキュリティコード等を
入力いただくことはありません。
不審な画面が表示されましたら、決して入力しないようご注意ください。
コンピューターウイルスの感染を防ぐためにも、ウイルス対策ソフトのご利用を
おすすめいたします。また、パターンファイルは最新のものに更新いただくよう
お願いいたします。
ブラウザやOSなどは、古いバージョンのままであったり、サポートが終了したものは
セキュリティを十分に保つことができず、ウイルスに感染してしまう可能性が
あります。常に最新版のバージョンに更新されることをおすすめします。
もっと詳しくの情報はこちら
http://rakuten-card.co.jp/secure/virusalert/[数字]
======
本メールは重要なお知らせのため、配信停止はできません。
また、配信専用のアドレスからお送りしておりますので
返信いただいてもお問合せにお答えすることができません。
======
発行元  楽天カード株式会社
======
実在するセキュリティ製品の名前を挙げて 「不正送金・フィッシング対策ソフト「PhishWallプレミアム」提供開始」 と利用を促したり、「定期的なID・パスワード変更のお願い/コンピュータウイルスにご注意」 という、よくありそうなセキュリティ案内がテーマになってます。

いちおう細かく見ると、文法的に不自然な日本語の表現が少しあるものの、メール本文をいっさい読まれる機会すらなく破棄されるゴミメールの雰囲気とは明らかに異なります。

ただ、必ず目に留まってしまうメールのはずでモノ凄い巧妙です。

リンク先はスクリプトファイル

偽の楽天カード/楽天銀行メールに添付ファイルはありません。

突然のメールで動揺させて、本文中に登場する誘導リンクをユーザーにうっかりポチッと踏ませることが攻撃者の狙いになります。
  • もっと詳しくの情報はこちら
  • http://rakuten-card.co.jp/ ~
攻撃手口を確認するため、試しにリンクをクリックしてみるとどうなる?

手元でアクセスしてみると、楽天銀行や楽天カード株式会社を装うフィッシング詐欺ページが表示されることはありませんでした。

次のように、ファイルのダウンロード を促されます。

イメージ 2
楽天詐欺メールのリンクからファイルのDL

この圧縮アーカイブの中身は Windows の スクリプトファイル拡張子 .js) となってて、これを Windows パソコン上でポチポチッとダブルクリックして開いたら攻撃処理が発動します。

イメージ 5

イメージ 3
種類 → JavaScript ファイル / JScript Script ファイル

【楽天メールで不正なファイル】
楽天銀行の重要な情報.zip
└ 楽天銀行の重要な情報.DOC.js (rxmawpxsvj.DOC.js
詳細情報楽天銀行.zip
└ 詳細情報楽天銀行.PDF.js (fqvjrxma.PDF.js
もっと詳しくの情報はこちら.zip
└ もっと詳しくの情報はこちら.PDF.js (qlqfzrwvjxvjx.PDF.js

ユーザーを欺くため、ファイル名を 「~.DOC.js」「~.PDF.js」 にして楽天に関する文書っぽく装ってることが分かります。

ただ、この種類は スクリプトファイル であって、決して文書ではありません! ファイルの拡張子は表示してる?

ネットバンキングウイルスに感染!

手元でスクリプトファイルを開いて動作確認してみました。

Windows のシステムにある powershell.exe を介して外部ネットワークに接続を試みて、マルウェア Ursnif(読み方 アースニフ、別名 Dreambot) の実行ファイルをダウンロードしてきて起動することが判明しました。

イメージ 4
jsファイルを実際に開いた直後のプロセスの様子

Ursnif ウイルスは、Windows パソコンが感染ターゲットの脅威で、具体的な被害としては日本国内で ネットバンキング不正送金クレジットカード不正利用 として暗躍してることが 名指しで報告 されてます。

ランサムウェア感染? スマホはウイルス大丈夫?

この楽天詐欺メールは、ファイルを暗号化して身代金を要求する ランサムウェアの感染を目的としたものではありません

なお、これらファイルは Windows OS だけが動作対応環境です。

つまり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメール受信そのものはあっても、ウイルスの影響はなく大丈夫です。

2つの無料ウイルス対策で100%感染防ぐ

この楽天銀行カード名目のウイルスメール攻撃で、マルウェア感染被害を喰らうのは Windows パソコンのウイルス対策をあらかじめしてない場合に限定されます。

それこそ 『怪しいリンクをクリックしない』『不審なファイルを開かない』 といった精神論を紹介する記事を目にするけど、結局ユーザーが ”うっかり” をやらかせば一貫の終わりです。

完璧な人間は存在せず、何だかんだ 人為的ミス(ヒューマンエラー) を引き起こすリスクを抱えていることを忘れてはいけません。

そこで、詐欺メールのリンクをクリックしようが、不正なスクリプトファイルをダブルクリックして開こうか、100%感染被害が起こらない効果的な2つのウイルス対策 を紹介します。

【1】 スクリプトファイルの無害化

攻撃手口は スクリプトファイル(拡張子 .js/.vbs/.wsf) を開いてもらうことです。

つまり、その部分でウイルス攻撃者を出し抜くと最強です。

スクリプトファイルの関連付けをあらかじめ変更しておくことで、不正なスクリプトファイルを使った攻撃は未来永劫通用しなくなります。

これは Windows の設定を変更するだけのウイルス対策なので無料です。


【2】 ファイアウォールの活用

ウイルス攻撃者は Ursnif ウイルスのダウンロード処理に Windows の正規プログラム powershell.exewscript.exe を悪用しています。

なぜ悪用するのかというと、セキュリティ製品のスリ抜けに都合がよく、ウイルス感染成功率で優位に働くからです。

つまり、その部分でウイルス攻撃者を出し抜くと最強です。

ファイアウォールを使って正規プログラムの通信をブロックしておくと、ウイルス攻撃者の意図する通りの動作が実現できません。

これは Windows に標準で実装されてる Windows ファイアウォール でも無料で対策できます。

セキュリティトピックス

投入されてるマルウェアのハッシュ値と VirusTotal のファイルスキャンです。

【不正なスクリプトファイル】
MD5 c977f6bfb815a070fe2e1b3679ca25fe
www.virustotal.com/ja/file/dc1ac1f153f46ed84846134a0f4d1f320c691568db910e70c8c4da5f3de52d52/analysis/1511843563/

MD5 1cfa63583d3d3bab4b632b641b05f1d0
www.virustotal.com/ja/file/dbbaff23382b818d0fcee2251389080806451f5f5495f21069aa883a1acf5e49/analysis/1512055784/

ESET PowerShell/TrojanDownloader.Agent
Kaspersky HEUR:Trojan.Script.Agent.gen
Microsoft Trojan:Win32/Sonoko.A!ms
Symantec JS.Downloader
Trend Micro JS_NEMUCOD.ELDSAUUS JS_NEMUCOD.ELDSAUUV

【Ursnifウイルス】
MD5 e40e279d3ab5ac88797da94c9edf6e48
www.virustotal.com/ja/file/c26ddfc5f93c353ebd1b18805648951d311a0c5f71b62c2fcd684d991240afee/analysis/1511846622/

MD5 29217c6c212a3cab4433574d2e9391eb
www.virustotal.com/ja/file/b62ffea1ae933d186a011fd20bbc22dcd56f308e97650655c2f9e94b70a5eb0a/analysis/1512082385/

ESET Win32/GenKryptik.BFTM Win32/Kryptik.FZWQ
Kaspersky Trojan-Spy.Win32.Ursnif.wui Trojan-Spy.Win32.Ursnif.xec
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan.Gen.2 Trojan Horse
Trend Micro TSPY_URSNIF.AUSIRQ TROJ_GEN.R011C0DL217
関連するブログ記事