ノートパソコン dynabook が 
8万円から♪最終更新日: 2017/12/08
三菱UFJ信託銀行口座開設申込受付メールでウイルス感染 対策2つで安心♪
Image いらすとや
実在する企業や銀行を名乗り、完成度の高い日本語の文章で書かれた 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。 
三菱UFJ信託銀行を騙って口座開設の申込と称した怪しい偽メールがコチラ。
件名 三菱UFJ信託銀行 - 口座開設申込受付
送信者 三菱UFJ信託銀行 <account_post@tr.mufg.jp>
┏━━━━
┃【三菱UFJ信託銀行】口座開設の申込を受け付けました
┗━━━━
このたびは お申し込みいただきありがとうございます。
受付番号[ S[数字] ] にて口座開設の申込書類のご請求を承りました。
お問い合わせの際には上記受付番号をお申し付けください。
なお、申込書がお手元に届くまでに1週間程度かかる場合がございますので、
予めご了承下さい。
※ご入力いただいたお客さま情報を口座開設申込書に印刷のうえ、お客さまに
http://www.tr.mufg.jp/application/privacy/S[数字].html
お送りいたしますが、やむを得ない事情により、お客さま情報の印刷を行わず
白紙の口座開設申込書をお送りする場合があります。
http://www.tr.mufg.jp/application/registrationform/[数字].html
━━━━━
このメッセージは、三菱UFJ信託銀行ホームページより
自動的に送信されています。
このメールに対して返信しないようお願いいたします。
このメールに心当たりのない場合やご不明な点がある場合は、
account_post@tr.mufg[.]jpまでご連絡ください。
━━━━━
プライバシーポリシーについてはこちらをご覧ください。
http://www.tr.mufg.jp/application/privacy/index.html
Copyright(C) 2017 Mitsubishi UFJ NICOS Co.,Ltd. All Rights Reserved.
添付ファイルはなく、本文中に記載された 「http://www.tr.mufg.jp/ ~」 のリンクをポチッとクリックさせようとします。
ワード文書やスクリプトファイルのダウンロード
リンクを踏み抜くと、三菱UFJ信託銀行のフィッシング詐欺サイトが表示されるワケではなく、不審なファイルのダウンロードを促されます。
「入園登録表.zip」 なんじゃそりゃ!
「楽天カード株式会社の重要な情報.zip」
圧縮アーカイブの場合に解凍・展開して中身を確認すると、次のようなファイル形式のどちらかが登場します。
■ ワード文書ファイル … 拡張子 .doc
「入園登録表.doc」(lipic.doc)
Microsoft Office に実装されてるVBAマクロを悪用した脅威、いわゆるマクロウイルスではないです。
2017年11月にセキュリティパッチが配信され解決してる Microsoft Office の脆弱性(CVE-2017-11882) を悪用する処理が含まれてます。 
あと、2017年9月に解決してる Microsoft .NET Framework の脆弱性(CVE-2017-8759) を悪用する処理が含まれてる可能性があります。 
<よく分からん
<よく分からん
MalwareTracker.comさんのツイート: "CVE-2017-8759 RTF weird Msxml2.SAXXMLReader.6.0 object is here"
https://twitter.com/mwtracker/status/908149370666745866
■ スクリプトファイル … 拡張子 .js
【迷惑メールのリンクから入手できるファイル】
楽天カード株式会社の重要な情報.PDF.js (rxfijqzwuwpxsvj.PDF.js)
楽天カード株式会社の重要な情報.DOC.js (rxfijqzwuwpxsvj.DOC.js)入園登録表.js (lipic.js)入園登録表.pdf.js (lipic.pdf.js)
.jsファイルをダブルクリックして開くと、Windows PowerShell を介して外部ネットワークに接続し、ネットバンキング不正送金被害で暗躍するマルウェア Ursnif(読み方 アースニフ) をダウンロードしてきて感染させます。
■ スマホは大丈夫?
いずれも Windows PC が動作環境のファイルなので、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は関係なく大丈夫です。 
感染被害を回避するウイルス対策は?
誰でも思いつく 「怪しいメールを開くな」「不審なリンクをクリックするな」 みたいな自力でなんとか頑張れ的な精神論では、ヒューマンエラーを想定する場合に危なかっしいです。
そこで、確実にウイルス感染回避に繋がる効果的なウイルス対策を紹介します。
まず、不正なワード文書ファイルに対抗するため、Microsoft Office 2007/2010/2013/1016 をアップデート更新することで、悪用される脆弱性を解消しておくのは当然のお話です。 
<無料
<無料・ Office の更新プログラムをインストールする - Office サポート
https://support.office.com/ja-jp/article/2ab296f3-7f03-43a2-8e50-46de917611c5
https://support.office.com/ja-jp/article/2ab296f3-7f03-43a2-8e50-46de917611c5
・ Microsoft Office の脆弱性(CVE-2017-11882)について:IPA 情報処理推進機構
https://www.ipa.go.jp/security/ciadr/vul/20171129_ms.html
https://www.ipa.go.jp/security/ciadr/vul/20171129_ms.html
そして、スクリプトファイルの場合は、攻撃処理を無力化する 2つのウイルス対策 をやっておくと、セキュリティ製品に託す場面いっさいなく100%感染回避の道が確定です。 
【1】 スクリプトファイルの無害化
ウイルスメール攻撃者は スクリプトファイル(拡張子 .js/.vbs/.wsf) を開いてもらうのを狙ってます。
そこで、ファイルの関連付けを変更しておくと不正なスクリプトファイルを使った攻撃がまったく通用しません。 
<Windows の設定を変えるだけなので無料
<Windows の設定を変えるだけなので無料【2】 ファイアウォールの活用
ウイルスメール攻撃者はマルウェアのダウンロード処理に正規プログラム powershell.exe や wscript.exe を悪用して、セキュリティ製品のスリ抜けに狙ってます。
そこで、あらかじめファイアウォールで通信ブロックに登録しておくと悪用不能になるので安心です。 <標準実装されてる Windows ファイアウォールでも無料で対策が可能♪
<標準実装されてる Windows ファイアウォールでも無料で対策が可能♪セキュリティトピックス
投入されてる不正なファイルたちのハッシュ値やオンラインファイルスキャン VirusTotal の判定結果です。
【ワード文書ファイル】e0d4fb69c8cbe2e24f4e939e6a31d981
www.virustotal.com/ja/file/4760eb81892987a38cae1b357c42242b877cb809224a60fdf8ac9a73f32bddd0/analysis/1512438796/
ESET Win32/Exploit.CVE-2017-11882.K
Kapsersky Exploit.MSOffice.CVE-2017-11882.e
Microsoft Trojan:Win32/Sonoko.A!ms
Symantec Trojan.Mdropper
Trend Micro HEUR_RTFMALFORM TROJ_RTFCVE201711882.A
Kapsersky Exploit.MSOffice.CVE-2017-11882.e
Microsoft Trojan:Win32/Sonoko.A!ms
Symantec Trojan.Mdropper
Trend Micro HEUR_RTFMALFORM TROJ_RTFCVE201711882.A
【スクリプトファイル】8e88145d6c1a4d12195dfabfb1abd597
www.virustotal.com/ja/file/ddf92487863e80adb56187b0ce4f3214aefdf02a483f4e4996731fb9793dc718/analysis/1512453372/
9d83676fb1f6985bcaf73b4d22905127
www.virustotal.com/ja/file/8e6df1eed06ca148b7b1b8abeb842af580ddf89b9b2a721d7ccf73525df0f74b/analysis/1512626517/
dd555ab5501f90fa17e59b17e82b5748
www.virustotal.com/ja/file/eb6c4d2ea6fbf4287492216142d6a7d032d063570ab780f7d788bca00eaf5560/analysis/1512680821/
ESET PowerShell/TrojanDownloader.Agent
Kapsersky HEUR:Trojan.Script.Agent.gen
Microsoft Trojan:Win32/Sonoko.A!ms Trojan:Win32/Bluteal!rfn
Symantec JS.Downloader
Trend Micro JS_NEMUCOD.JXKA JS_POWLOAD.ELDSAUHI JS_POWLOAD.ELDSAUHJ
Kapsersky HEUR:Trojan.Script.Agent.gen
Microsoft Trojan:Win32/Sonoko.A!ms Trojan:Win32/Bluteal!rfn
Symantec JS.Downloader
Trend Micro JS_NEMUCOD.JXKA JS_POWLOAD.ELDSAUHI JS_POWLOAD.ELDSAUHJ
【Ursnifウイルス】
a6e4e0db29fc0af56707e6066e9fbbaa
www.virustotal.com/ja/file/91521ea4f8bd070c7c2dea66fd983acdda1dd0f05c82608b9c8fa116a6301f1b/analysis/1512455203/
5a80f4f7307ed946db450dd42eea2f77
www.virustotal.com/ja/file/92904d43af33a4ecc26e9935c278dd87b874e6a02d185ad5fb163f36f94de4c2/analysis/1512629143/
ESET Win32/Kryptik Win32/Spy.Ursnif.AO
Kapspersky Backdoor.Win32.Dreambot.ai Trojan-Spy.Win32.Ursnif.xnw
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIRU TSPY_URSNIF.AUSIRW
Kapspersky Backdoor.Win32.Dreambot.ai Trojan-Spy.Win32.Ursnif.xnw
Microsoft TrojanSpy:Win32/Ursnif
Symantec Trojan Horse
Trend Micro TSPY_URSNIF.AUSIRU TSPY_URSNIF.AUSIRW
