ノートパソコン dynabook が 
5万円台から♪最終更新日: 2018年4月10日
カード利用お知らせ楽天Edyチャージ迷惑メールはウイルス 対策4つで感染防ぐ?
Image いらすとや
イヤラシく実在する企業や銀行を勝手に名乗り、完成度の高い日本語の文章で書かれた怪しい 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。 
楽天カード株式会社を騙って、Edyチャージ 1,000円、10,276円、101,154円、190,504円、270,543 円 を楽天カード利用で支払ったお知らせ通知を装う偽メールがコチラ♪
カード利用のお知らせメール実物 (HTML形式)
件名 カード利用のお知らせ送信者 楽天カード株式会社 <info@mail.rakuten-card.co.jp>
環境 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.2.0
不正なログイン画面にご注意ください
楽天カード
カード利用お知らせメール
楽天e-NAVIへについて詳しいことは こちらでしお調べください。
Gmailアドレスをご登録の会員様へ
楽天カードを
ご利用いただき、誠にありがとうございます。
お客様のカード利用情報が弊社に新たに登録されましたのでご案内いたします。
カード利用お知らせメールは、加盟店から楽天カードのご利用データが弊社に到着した原則2営業日後にご指定のメールアドレスへ通知するサービスです。 無題な濃いログ
カードご利用情報
>すべてのご利用明細の確認はこちら
<<後からリボ払いへ変更可能なショッピングご利用分>>
下記は、後からリボ払いへ変更可能なショッピング1回払い(ボーナス1回払い)のご利用一覧です。
「リボ払い変更選択」にチェックを入れて「チェックして確認画面へ」をクリックいただきますと、簡単にリボ払いへ変更いただくことが可能ですので、ぜひご活用ください。
また、お客様のご利用環境により「リボ変更選択」のチェックがご利用いただけない場合がございます。無題な濃いログ
その際は、楽天e-NAVIにログインいただきお手続きをお願いいたします。
<ご注意>
※自動リボサービスにご登録にいただいているお客様で割賦枠を超えたご利用分は、リボ払いではなく1回払いとなります。(お客様のご利用可能額のご確認はこちら)
※自動リボサービスにご登録いただいた後のご利用など、既にリボ払いへ変更となっておりますご利用分は、<<後からリボ払いへ変更可能なショッピングご利用分>>のご利用一覧には含まれません。なお、ご利用額が割賦枠の上限を超えている場合、後からリボ払いへの変更は出来ません。無題な濃いログ
※カードの年会費・分割払い・ボーナス2回払いのご利用分や家賃のお支払いなど一部の加盟店のご利用分については、リボ払いへの変更はできません。
ご利用一覧
リボ払い変更選択 利用日 利用先 支払方法 利用金額 支払月 カード利用獲得ポイント ポイント獲得予定月
{2017/12/12{2017/12/14{2017/12/27 Edyチャージ 1回 1,000 円 2017/12 5 ポイント 2017/12{2018/01/16{2018/01/22 Edyチャージ 1回 1,000 円 2018/01 5 ポイント 2018/01{2018/01/30{2018/02/6 Edyチャージ 1回 10,276 円 2018/02 5 ポイント 2018/02{リボ払い変更可能合計金額 1,000 円 ポイント合計 5 ポイント{リボ払い変更可能合計金額 10,276 円 ポイント合計 5 ポイント{2018/02/21 Edyチャージ 1回 101,154 円 2018/02 5 ポイント 2018/02
{2018/02/27 Edyチャージ 1回 190,504 円 2018/02 5 ポイント 2018/02
リボ払い変更可能合計金額 190,504 円 ポイント合計 5 ポイント
{2018/03/23 Edyチャージ 1回 270,543 円 2018/03 5 ポイント 2018/03
リボ払い変更可能合計金額 270,543 円 ポイント合計 5 ポイント
{2018/04/10 Edyチャージ 1回 190,000 円 2018/04 5 ポイント 2018/04
リボ払い変更可能合計金額 190,000 円 ポイント合計 5 ポイント
>>後リボについて
※支払月の請求確定日を過ぎるとリボ払いの変更手続きができなくなりますのでご注意ください。
安心・安全に楽天カードをご利用いただくために
お客様に楽天カードを安心・安全にご利用いただくために、カードの適切な保管方法・不正への取り組み・トラブルの事例などを掲載しております。
詳細につきましてはセキュリティ関連事項ページよりご確認ください。
楽天カードの取り組み
お客様より頂戴したご意見・ご要望の一つひとつを真摯に受け止め、さらなる安心と信頼をご提供できるよう、日々改善に取り組んでおります。無題な濃いログ
>>お客様の声への取り組みについてはこちらから
■ カード利用お知らせメールの登録・変更は、楽天e-NAVIよりお手続きください。
■ 一部メールの受信環境によって正しく表示されない場合がございます。本メールに記載のご利用明細は、楽天e-NAVIのご利用明細にてご確認ください。
■ このメールアドレスは配信専用です。お問い合わせの際はこのメールアドレスは配信専用です。お問い合わせの際は
このメールアドレスは配信専用です。お問い合わせの際は│楽天e-NAVI メンテナンス情報
発行元 楽天カード株式会社
https://www.rakuten-card.co.jp/
Rakuten Card Co., Ltd.
不自然で変な日本語の表現は少し確認できるものの、全体的に文章がかなりよくできてます。
特にそれらしい楽天カラーのレイアウトデザインが巧妙すぎて、パッと見の見た目ではとても詐欺と見抜けない巧妙なメールです。 
■ 楽天カードのロゴマーク悪用も表示されず
ちなみに、このカード利用メールの左上に楽天カードの本物のロゴマークを表示させるはずが、画像ファイルが置かれてある URL の指定が間違ってました。
楽天カード偽メールのソース
画像ファイルを読み込む URL のドットが欠けてる?
結果的に、説得力を増すであろう画像データの読み込みに失敗して表示されません。 
<メール攻撃者のミス? いつまでたっても修正しないので故意?
<メール攻撃者のミス? いつまでたっても修正しないので故意?スクリプトファイルを開かせる手口
この楽天騙る詐欺メールの狙いは?
見に覚えのない楽天カード利用お知らせに驚いて動揺するユーザーさんを狙い、確認したい衝動から本文に登場する リンク(8ヶ所)をうっかりポチッとクリック させる ことです。
■ リンクからファイルのダウンロード
仮にリンクをクリックすると、楽天カード株式会社の公式サイトを装うフィッシング詐欺ページが表示されるワケではありません。 (→ フィッシングメール ではない)
次のように、ファイルのダウンロードになりました。
楽天詐欺メールから圧縮アーカイブのダウンロード
圧縮アーカイブの場合に解凍・展開作業を行って中身を確認すると、次のような Windows の スクリプトファイル(拡張子 .js) が登場しました。
【リンク先でダウンロードされるファイル】
もっと詳しくの情報はこちら.zip
└ もっと詳しくの情報はこちら.PDF.js (qlqfzrwvjxvjx.PDF.js)
楽天銀行の重要な情報.zip
楽天銀行重要な情報.zip
└ 楽天銀行重要な情報.pdf.js (rxmapxsvj.pdf.js)
└ 楽天銀行重要な情報.PDF.js (rxmapxsvj.PDF.js)
└ 楽天銀行の重要な情報.PDF.js(rxmawpxsvj.PDF.js)
└ 楽天銀行の重要な情報.DOC.js(rxmawpxsvj.DOC.js)
楽天銀行の重要な情報.pdf.js
ユーザーに楽天銀行(詐欺メールの内容は楽天カードがテーマだけど)に関するPDF文章やワード文書を受け取ったかのよう誤認させようとしてます。
これが二重拡張子 「~.PDF.js」「~.DOC.js」 と呼ばれてるファイルの偽装トリックです。 <ファイルの拡張子は表示してる?
<ファイルの拡張子は表示してる?■ ネットバンキングウイルスに感染!
勘違いしないでほしいのが、次の状況ではまだ感染する段階には至ってません。
- 楽天に偽装したメールを単に開封し本文を読んだだけ
- メール本文中に記載されてるリンクをクリックしただけ
ウイルス感染成立の最初の条件は、この js ファイルを Windows パソコン上でポチポチッと ダブルクリック して開くことです。 
<つまり自爆
<つまり自爆~ スクリプトファイル開いた直後のプロセスの様子 ~
powershell.exe を介して Ursnif をダウンロード
wscript.exe を介して Ursnif(dll) をダウンロード
実際に手元で動作確認してみるとネットバンキング不正送金被害を招くことで知られる凶悪なマルウェア Ursnif(読み方 アースニフ、別名 Dreambot) に感染するようになってました。
○ ランサムウェアに感染?
この楽天カードがテーマの詐欺メールが ランサムウェアの感染 を目的にしてると紹介する記事を目にしました。 
しかし、PC 内のファイルを暗号化して開けないようにした上で身代金の支払いを要求してくる場面はいっさいなくランサムウェア攻撃キャンペーンではありません。
○ スマホはウイルス大丈夫?
攻撃対象は基本的に Windows XP/Vista/7/8/10 だけです。
それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメール受信自体はあっても動作しないファイル形式で影響せず大丈夫です。 
無料ウイルス対策で感染被害を防ぐ方法
残念ながら、ウイルス対策ができてない Windows ユーザーさんの悲劇的な末路はこうなります。 
警察庁がウイルス感染被害者の増加を指摘
警察庁では、インターネットバンキングに係るコンピュータウイルスDreamBotに感染したことにより不正に窃取されたインターネットバンキングのユーザID・パスワード等が急増(平成29年7月~9月は月20件程度であったが、10月以降は月70件程度となっている。)していることを確認しています。
www.npa.go.jp/cyber/policy/20171211.html
ここへのウイルス被害仲間入りは確実に避けたい!
だからといって、『不審なリンクをクリックしない』『怪しいファイルを開かない』 みたいなユーザーの技量に依存する精神論だけではけっこう無謀です。
そのため、楽天詐欺メールの攻撃者を出し抜くため 人為的ミスを犯しても100%感染しようがなくなる有効なウイルス対策 を4つ挙げます。 
《1》 スクリプトファイルを無害化する
楽天騙る迷惑メールの攻撃者は スクリプトファイル(拡張子 js/jse/vbs/wsf) を開いてもらおうとしてます。
たとえば、これらファイルの 関連付け をあらかじめ変更しておくと、不正なスクリプトファイルを使った一連のウイルス感染攻撃が未来永劫サッパリ通用しません。 
<Windows の設定を変更するだけなので簡単
<Windows の設定を変更するだけなので簡単《2》 ファイアウォールを活用する
楽天騙る迷惑メールの攻撃者はセキュリティ製品からのスリ抜けを意図してマルウェアのダウンロード処理に Windows の正規プログラム powershell.exe や wscript.exe を悪用します。
そこで、これら実行ファイルをあらかじめ ファイアウォール で通信ブロックに登録しておくと悪用手段としての動作が実現せず安心です。 
<標準で実装されてる Windows ファイアウォールでも無料で対策が可能
<標準で実装されてる Windows ファイアウォールでも無料で対策が可能残り2つは、この楽天騙る迷惑メールとは異なるウイルス感染攻撃で有効な無料ウイルス対策になります。
《3》 マクロウイルス対策を行う
Microsoft Office に実装されてるVBAマクロを悪用する エクセルファイルxlsでネットバンキングウイルスを感染させる日本語の迷惑メール も投入されてます。
そのため、無料ですぐできる マクロウイルス対策 は大事です。 
<あらかじめ Word や Excel のセキュリティ設定を変更するだけなので簡単
<あらかじめ Word や Excel のセキュリティ設定を変更するだけなので簡単《4》 ソフトウェアを更新する
脆弱性を悪用するウイルス感染攻撃も確認されていて、更新放置をキッカケに被害を喰らうパターンになります。 
そこに対処するため、Windows Update の実施、Microsoft Office の無料更新、Adobe Flash Player の無料更新が確実に済んでるかの3点を確認しましょう。
【更新できてるか確認♪】
https://www.microsoft.com/ja-jp/safety/protect/musteps.aspx
https://support.office.com/ja-jp/article/2ab296f3-7f03-43a2-8e50-46de917611c5
https://get.adobe.com/jp/flashplayer/about/
この楽天カード詐欺メールに対抗して、いちいちセキュリティ製品を追加で導入したり乗り換えたりする必要性ありません。 
既存の機能をうまく使いこなしてウイルス感染攻撃を容易に切り抜けできます。
関連ファイルの詳細
投入される不正なファイルのMD5ハッシュ値とオンラインスキャンサイト VirusTotal の判定結果です。 
<新鮮なウイルス亜種が逐一投入されてることが分かる
<新鮮なウイルス亜種が逐一投入されてることが分かる【スクリプトファイル】
fd81c2449d90a86d848140c7cf01db3d
www.virustotal.com/ja/file/43ce50cf11ea52211f19ac5635133b1d49375e42b69fb4d61e69291b7d48de8e/analysis/1513144933/
514ff9830fec0dcb2dc73d05c44e25af
www.virustotal.com/ja/file/469f78408bdfdbe36c56b5f56b409cb41b3e1bafcac448fd6d80742718ca03d5/analysis/1513231633/
d0396949887b012085715ac56b0a119d
www.virustotal.com/ja/file/1d343ab755274f334f7f6074666d8be28c0913ea086f755d1446eef1403c3f68/analysis/1514352117/
b39b35271460fcaa7b7c15af1f435316
www.virustotal.com/ja/file/1cfe07139a8b02236c848aa5b9f3efd64531385086648d4afa7308f51a08b26b/analysis/1514525312/
2dd570e5b1ff74b1471a969d9605dbbc
www.virustotal.com/ja/file/bde053001dd4c78bb122dc1cd8669a7fd36e9c74fd1229660f80f47c82496ce1/analysis/1516082395/
e6ce9fe3b79ed2f4e3803d6962d2c5fc
www.virustotal.com/ja/file/cbbecf64d3a47383c1d541db1f871dc17bd4fa5f445015e07e8a0821137c958c/analysis/1516174043/
769aae58ac73a47c643de809dfc46ce0
www.virustotal.com/ja/file/10e4abc1945d2138a3200a8090c6d4231fd932298b92e16e2bc9b49404892d48/analysis/1516689752/
fa6f86b6b1f5bd276421b456ce782677
www.virustotal.com/ja/file/f91c8eb88ebd8561e4f9a2611749dccb9f8e04d33187b81d1ff823aef3ffcd31/analysis/1517296738/
8383e6402d9707f750eba79dadd6f470
www.virustotal.com/ja/file/969d4feb6831d918157dce799d764854c9dbca643328d522fee3272a5b215f60/analysis/1517900417/
09c675f7e90095c41daef107362e7fe8
www.virustotal.com/ja/file/307dd49054f800c01dab40a9f7f874fc975eeda91fe4b058ef3b18cf3dc8d7c2/analysis/1519201195/
29300605c22055dea488081bc8a1abb5
www.virustotal.com/ja/file/dfe56cec57df5c8f6c936f124aec8cbc7c56c7e2b8002cb7dd2ffa5440b71536/analysis/1519281440/
3ec58378bf16f9b3279200c3c7080677
www.virustotal.com/ja/file/6dbb084e94e367faae6ac4ab2de017350d385b569d5963d306ca20eded0c2098/analysis/1519687566/
898035f8737494c12be31d9f7b17120a
www.virustotal.com/ja/file/f2775510d03a82e8415406d6fea82f2e33b130c5c4d0105211de91803822d403/analysis/1521787666/
e84b9c2dbad200611bf15a9b2df98cbd
www.virustotal.com/ja/file/981f776f85a0f0aa25217ae53e64cba907647e75f41ab86707f463fb78a96bca/analysis/1523341249/
ESET PowerShell/TrojanDownloader.Agent JS/TrojanDownloader.Agent JS/Obfuscated
Kaspersky HEUR:Trojan.Script.Agent.gen FireflyFramer
Symantec JS.Downloader ISB.Downloader!gen48 FireflyFramer
Trend Micro JS_URSNIF.EP JS_URSNIF.THBOAI JS_URSNIF.THBOAJ JS_POWLOAD.ELDSAUHK JS_POWLOAD.ELDSAUHT JS_POWLOAD.ELDSAUHV JS_POWLOAD.ELDSAUHZ JS_POWLOAD.ELDSAUIF JS_POWLOAD.ELDSAUIN JS_POWLOAD.ELDSAUIT JS_NEMUCOD.ELDSAUVPJS_NEMUCOD.ELDSAUVZ JS_NEMUCOD.ELDSAUWI JS_DLOADER.AUSYWK
Kaspersky HEUR:Trojan.Script.Agent.gen FireflyFramer
Symantec JS.Downloader ISB.Downloader!gen48 FireflyFramer
Trend Micro JS_URSNIF.EP JS_URSNIF.THBOAI JS_URSNIF.THBOAJ JS_POWLOAD.ELDSAUHK JS_POWLOAD.ELDSAUHT JS_POWLOAD.ELDSAUHV JS_POWLOAD.ELDSAUHZ JS_POWLOAD.ELDSAUIF JS_POWLOAD.ELDSAUIN JS_POWLOAD.ELDSAUIT JS_NEMUCOD.ELDSAUVPJS_NEMUCOD.ELDSAUVZ JS_NEMUCOD.ELDSAUWI JS_DLOADER.AUSYWK
【Ursnifウイルス】
4cb4383c9fb7895234e027937c7a2cd5
www.virustotal.com/ja/file/ad647c0587ac6f8d3e4096435818ec9225bdd7bddc4d379993a4115fbb0cf255/analysis/1513146422/
c375012865b94fa037d23c555e6c2772
www.virustotal.com/ja/file/dcb59b126b857c7c2325f2f56ea4d963753ad7b8ff656029c0d4ae62c467d0b4/analysis/1513198342/
0c566a1d9192ed8fe8d3d0e9bd2e3d31
www.virustotal.com/ja/file/a8422804bb5fc7ab3479a7570d331e14447334b7c9e0b5bc851fbc82c8f98a74/analysis/1514353302/
bedafe79d5407122ba39a3c553f03663
www.virustotal.com/ja/file/def5de10a7bc9790c9b42ec8e9f0143264d88cafa2be4a7e145419f2912eb197/analysis/1514531011/
2613343d00a40eb59b27b362c6dbed82
www.virustotal.com/ja/file/31b31945be0ff0f8153510b01d83c93f37e3e9a720b3ecd7c11539b06528bfad/analysis/1516089131/
431bd8bf4f173a0849256b87b8621fee
www.virustotal.com/ja/file/bacef2589b5266b6d78cff09fd95c3f11052f49e55ec9a1a470fe72c4702130c/analysis/1516174642/
59f41c71155d706050a0095124272146
www.virustotal.com/ja/file/7e242e42afb01237c697b62fe20452f5f46fe8ff4331aae54563a407c3cae576/analysis/1516690662/
153d01ad889794966c04460ebd6ed21f
www.virustotal.com/ja/file/7ad80e267deb4dcf858ee8112690ca6ee13d49233f47dafeb2d7d331dc6d22ed/analysis/1517298339/
768f2a5fb1e7f826511fdd03eacda477
www.virustotal.com/ja/file/4ce150a2af5195b87608a40691d8d909f35449ceeb0ac6268e039ec2410e988d/analysis/1517900737/
46e866e87ecfc93d3eb391535c1b5867
www.virustotal.com/ja/file/3996277685c3381aaafd393778df881e554b254906afa34fd681929b28767413/analysis/1519200944/
c0ce6a2d1221b3106442e78e5d4b088c
www.virustotal.com/ja/file/af16822f425108d455de94c59e9f0ba988735dd8691e571171da242751620f30/analysis/1519281910/
43fb8b09ede6be67aebfd3ec9e5fc9d8
www.virustotal.com/ja/file/3cff5bc9b6e2412385ef1665b8498a38345c70809a17bb1a0ea814c9d322da0f/analysis/1519687507/
00d5ae7f7fc3f77ab69da2f9c757f960
www.virustotal.com/ja/file/a3ca02fdfe8d0ff9fe4f284d4700fd85c6fcff458bf7460ae0b23aa1c1c60ccc/analysis/1521788451/
76a8246353b70882e6f276afedf2d48a
www.virustotal.com/ja/file/6e5a83452b5cbaab0c3075d3359c639014e5bbdd2a87daa074caf28f259dd734/analysis/1523341226/
ESET Win32/Spy.Ursnif Win32/GenKryptik Win32/Kryptik
Kaspersky Trojan-Spy.Win32.Ursnif Backdoor.Win32.Dreambot
Microsoft TrojanSpy:Win32/Ursnif Trojan:Win32/Tiggre!rfn
Symantec Trojan Horse Trojan.Gen.2 Trojan.Gen FireflyFramer
Trend Micro TSPY_URSNIF.AUSIRZ TSPY_URSNIF.AUSISA TSPY_URSNIF.AUSISF TSPY_URSNIF.AUSISJ TSPY_URSNIF.AUSISK TSPY_URSNIF.AUSISL TSPY_URSNIF.THAAIJ TSPY_URSNIF.THBAIAI TSPY_URSNIF.THBAIAJ TSPY_URSNIF.TIBAIBA TSPY_URSNIF.TIBAIBO
Kaspersky Trojan-Spy.Win32.Ursnif Backdoor.Win32.Dreambot
Microsoft TrojanSpy:Win32/Ursnif Trojan:Win32/Tiggre!rfn
Symantec Trojan Horse Trojan.Gen.2 Trojan.Gen FireflyFramer
Trend Micro TSPY_URSNIF.AUSIRZ TSPY_URSNIF.AUSISA TSPY_URSNIF.AUSISF TSPY_URSNIF.AUSISJ TSPY_URSNIF.AUSISK TSPY_URSNIF.AUSISL TSPY_URSNIF.THAAIJ TSPY_URSNIF.THBAIAI TSPY_URSNIF.THBAIAJ TSPY_URSNIF.TIBAIBA TSPY_URSNIF.TIBAIBO
コメント