最終更新日: 2018年6月7日

速報版カード利用お知らせ本人ご利用分迷惑メールはウイルス 対策2つで感染防ぐ

イメージ 1

楽天カード株式会社 を騙って、カード利用の確認通知を装った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

件名 【速報版】カード利用のお知らせ(本人ご利用分)
送信者 楽天カード株式会社 <info@mail.rakuten-card.co.jp>

楽天カード
【速報版】カード利用お知らせメール
楽天e-NAVIログイン
Gmailアドレスをご登録の会員様へ
楽天カードを装った不審なメールにご注意ください
楽天銀行カード(JCB)を
ご利用いただき、誠にありがとうございます
お客様のご利用情報が到着いたしましたので、速報としてご案内させていただきます。
ご利用日 利用者 ご利用金額
{2018/05/30{2018/06/06{2018/06/07 本人 [数字],[数字] 円
ご利用店舗名やお支払い方法などの詳細な情報については、
後日配信させていただく、「カード利用お知らせメール」をご確認ください。
>>カード利用お知らせメールの概要についてさらに詳しく
■【速報版】カード利用お知らせメールの注意事項
・ 本サービスは、利用承認照会があった場合に通知されるサービスです。
クレジットカードのご利用を確定するものではなく、請求を確定するものではありません。
・ 【速報版】カード利用お知らせ」は利用承認照会がある度に配信いたしますので、同梱処理などによる金額修正によって、複数のメールが届く場合がございます。
・ 利用承認照会でカードの有効性が確認できなかった場合、ご利用金額が500円未満の場合、携帯電話料金や公共料金などの継続的なご利用については、通知はされません。
また、ご利用店舗によっては通知がされない、あるいは通知が遅れることがあります。
・ カードご利用後、ご利用がキャンセルとなった場合でも、キャンセル情報のメールは配信されません。
キャンセルに関してのよくあるご質問
・ 注意事項をご参照の上、ご利用覚えのない内容に関しては以下をご確認ください。
ご利用覚えのない請求に関して
関連するセキュリティサービス
さらに安心してご利用いただけるよう、様々なセキュリティサービスをご用意しております。こちらもぜひご活用ください。
第2パスワード 本人認証サービス
指紋認証ログイン 不正検知システム
>>その他セキュリティへの取り組みについてはこちら
楽天カードの取り組み
お客様より頂戴したご意見・ご要望の一つひとつを真摯に受け止め、さらなる安心と信頼をご提供できるよう、日々改善に取り組んでおります。
お客様の声を実現しました。
>>お客様の声への取り組みについてはこちらから
■カード利用お知らせメールの登録・変更は、楽天e-NAVIよりお手続きください
■このメールアドレスは配信専用です。お問い合わせの際はよくあるご質問をご確認ください
楽天e-NAVIのご利用開始手続き/ログイン
楽天e-NAVI メンテナンス情報
発行元楽天カード株式会社
https://www.rakuten-card.co.jp/
Rakuten Card Co., Ltd.

日本語の文章が完璧で怪しい変な表現もなく巧妙すぎる偽メールです。

まったく見に覚えのないウン万円(金額はランダム生成なのでバラバラ)の楽天銀行カード JCB の利用情報にビックリ仰天させて、メール本文中にあるリンク(10ヶ所ほど)をポチッと踏ませようと企んでます。

誘導先はファイルのダウンロード

リンクをクリックすると?

手元で動作確認してみると、楽天カード株式会社の フィッシング詐欺サイト が表示されることはなく、ファイルをダウンロードするよう促されます。

イメージ 4
ファイルのダウンロード通知

ここから入手するのは Windows の スクリプトファイル拡張子 .js)を含んだzip形式の圧縮アーカイブ、あるいは生身の スクリプトファイル になります。


【リンクからダウンロードされるファイル】
もっと詳しくの情報はこちら.zip
└ もっと詳しくの情報はこちら.PDF.js (qlqfzrwvjxvjx.PDF.js
楽天銀行の重要な情報.zip
└ 楽天銀行の重要な情報.PDF.js (rxmawpxsvj.PDF.js
└ 楽天銀行重要な情報.pdf.js (rxmapxsvj.pdf.js


ネットバンキングウイルスに感染

このスクリプトファイル .js を Windows パソコン上で起動すると?

手元で動作確認してみると、Windows PowerShell を介して外部ネットワークに接続を試み、ナゾの実行ファイルをシレッとダウンロードしてきて起動する処理になってました。

イメージ 3
Windows のプロセスの様子
PowerShell スクリプトの処理内容も

ナゾの実行ファイルの正体は、Ursnif(読み方 アースニフ) とか Dreambot(読み方 ドリームボット) と呼ばれてるコンピュータウイルスです。

コヤツは日本国内でネットバンキング不正送金、クレジットカード不正利用の被害で暗躍してる脅威として、以前から ニュースで名指し されてます。 

スマホはウイルス大丈夫?

スクリプトファイルや実行ファイルは Windows XP/Vista/7/8/10 だけが動作対応環境です。

つまり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境はいっさい影響なく大丈夫です。

ウイルス感染防ぐ無料ウイルス対策2つ

怪しいメールを開くな』 なんて言われます。

しかし、実在する楽天カードをテーマ 「【速報版】カード利用のお知らせ(本人ご利用分)」 と偽装することで、それが実現しずらいイヤらしい戦法を詐欺メール攻撃者は採用してます。

そこで、感染手口に沿って 100%確実に攻撃が失敗する Windows 向けの無料ウイルス対策2つ を実施しておくと、どんだけヒューマンエラー(人為的ミス)が発生しようが安心です。 <ユーザーがうっかりやらかす不安を解消


【1】 スクリプトファイルの無害化

攻撃者は Windows の スクリプトファイル(拡張子 .js/.jse/.vbs/.wsf) を開いてもらおうと狙ってます。

そこで、Windows の設定からファイルの関連付けを切り替えておくと、不正なスクリプトファイルを使った感染手口は将来に渡って100%通用しません。



【2】 ファイアウォールの活用

攻撃者はマルウェアのダウンロード処理に Windows の正規プログラム powershell.exe を悪用しています。

これはマイクロソフトに由来する正規プログラムであるが故に、セキュリティ製品のスリ抜けに都合がよいからです。

そこで、悪用を見越して先手を打つのが得策で、具体的にファイアウォールで外部通信をブロックしておくと感染攻撃は100%確実に失敗します。

これは Windows パソコンに標準で実装されてる Windows ファイアウォール でも無料でチャッチャと実現できるウイルス対策です。


セキュリティトピックス

ファイルのウイルス検出名

【スクリプトファイル】
6b51df9190abc7ee93a21a6a555dbab3
www.virustotal.com/ja/file/5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7/analysis/1527660137/

15f7f4c3c8060e5a2e26dd256e260ce9
www.virustotal.com/ja/file/fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735/analysis/1528266323/

d7e30293bf5f134b27e89cdd294aa7a0
www.virustotal.com/ja/file/0f58f2393144d9663f1da3656e9133ce81d5283ab7c065ac9cdaade6282a3ead/analysis/1528351903/

e5519f909df33137fb958bdfdcbc9b6d
www.virustotal.com/ja/file/3cd5240e10e1e8a7d5ff5a74fcbdcd41945df1387346426826cd519cd23d729d/analysis/1528788354/

ESET JS/Kryptik
Kaspersky HEUR:Trojan.Script.Agent.gen HEUR:Trojan-Downloader.Script.Generic
Microsoft Trojan:Win32/Sonoko.A!ms Trojan:Script/Cloxer.A!cl
Symantec JS.Downloader ISB.Downloader!gen48 Trojan.Gen.NPE.2
Trend Micro JS_DLOADR.AUSUJB HEUR_JS.O.ELBP JS_POWLOAD.ELDSAUJH JS_POWLOAD.ELDSAUJI

【実行ファイル】
42be1e412cd47246c2e0a1c38d98af15
www.virustotal.com/ja/file/f17f4bffce4586b54cee1b9354f417b5413ed619dc1534431277477adc048d4a/analysis/1527659949/

55276a2f3b4ffc197fbe566577a7295d
www.virustotal.com/ja/file/601db298c5766c63831148ba376d219702694b51124e1247f8ec69ab8b9118cd/analysis/1528267294/

39e01e2f5a5fbfeca5abc01131e7e3a1
www.virustotal.com/ja/file/9f7b02032349637f0d8c962dab2f08f0e3269c295ac0de385c60274e89390d4b/analysis/1528351874/

3b66008f0a25542b86b8d8fd7be55d77
www.virustotal.com/ja/file/9d55e7d8c83c70ea8c1e7ae17ef56380422dd73ecca008e3c65db0b5cf4e2d1f/analysis/1528788755/

ESET Win32/GenKryptik Win32/Kryptik
Kaspersky Trojan.Win32.Yakes UDS:DangerousObject.Multi.Generic Trojan.Win32.Crypt
Microsoft Trojan:Win32/Tiggre!rfn Trojan:Win32/Bitrep
Symantec Trojan Horse Trojan.Gen.2
Trend Micro Mal_MiliCry-1c TSPY_URSNIF.TIBAICN TSPY_URSNIF.TIBAICR TSPY_URSNIF.TIBAICS

関連するブログ記事
Dreambot/Ursnifウイルス感染駆除と無料対策2つ ネット銀行不正送金防ぐ
・ 写真送付の件xlsファイルはウイルス 迷惑メール対策2つで感染防止効果あり