2015/12

📅 2015/12/13 | ✏️ Firefly

負債通知？納税者の方へ迷惑メール税務署偽装でウイルス添付危険！

負債通知？納税者の方へ迷惑メール税務署偽装でウイルス添付危険！

税務署 を名乗って成りすまし、負債の通知と称した日本語表記の怪しい迷惑メール（スパムメール）が不特定多数にバラ撒かれてるようです。

＜何で税務署から負債のお話がEメールで!?

件名負債通知 [数字]
件名（なし）

納税者の方へ
これはあなたが201*年第3四半期に税務署に対し負債がある旨の通知です。
この通知から14日以内に支払われなかった場合、あなたの銀行口座から資金を取り立てる行政措置が取られます。
ケース番号：[数字]-[数字]JP。

偽メールを受け取ったユーザーさんたちのお話です。

■ マークさんはTwitterを使っています: "オニカワトシオ　からの迷惑メール　負債通知　納税者の方へこれはあなたが2015年第3四半期に税務署に対し負債がある旨の通知です。この通知から14日以内に支払われなかった場合、あなたの銀行口座から資金を取り立てる行政措置が取られますケース番号：***　皆様引っかからぬよう"
https://twitter.com/nexmarc/status/675138025966452736

■ 烏龍氏さんはTwitterを使っています: "負債通知納税者の方へこれはあなたが2015年第3四半期に税務署に対し負債がある旨の通知です。この通知から14日以内に支払われなかった場合、あなたの銀行口座から資金を取り立てる行政措置が取られます。ケース番号：342-17324JP。"
https://twitter.com/ulon4/status/675197926226968577

■ 輪王さんはTwitterを使っています: "こんなzip付メール来た。“負債通知　納税者の方へ　これはあなたが2015年第3四半期に税務署に対し負債がある旨の通知です。この通知から14日以内に支払われなかった場合、あなたの銀行口座から資金を取り立てる行政措置が取られます。”悪即斬"
https://twitter.com/rinnou/status/675281452435562496

■ 野原さんはTwitterを使っています: "ありゃあ。「負債通知　納税者の方へ　これはあなたが2015年第3四半期に税務署に対し負債がある旨の通知です。」ｸﾘﾅﾐﾂｹﾞｵ <boglist＠rambler.ru>　という人から。どうも、スパムが増えて困る。"
https://twitter.com/noharra/status/675282728187641856

■ 子分さんはTwitterを使っています: "負債通知のメールが来た（笑）普通こういった内容のものって郵送で来るよね。というか負債抱えた記憶ないし… しかもご丁寧にまた変な添付ファイルあるし。削除すっかな。"
https://twitter.com/kobun_714/status/675283462887092224

■ エメさんさんはTwitterを使っています: "最近郵便局からウイルスメールが来ないと思ってたらなんと税務署から来たｗｗこんなんです皆様も添付ファイルは開けない様にしてください"
https://twitter.com/Emerarudasuu/status/681617564582019072

■ 年末商戦もたけなわ ( プログラム ) - Sugi - Yahoo!ブログ
http://blogs.yahoo.co.jp/to_5476/34013930.html

メールにはZIP形式の圧縮ファイルが添付されていて、解凍すると

Windows向け実行ファイル（*.exe）かスクリーンセーバー（*.scr）

が登場し、Windowsユーザーに踏んでもらう流れと思われます。

＜Mac や Android/iPhoneスマホは動作対象外！

海外では英語表記の迷惑メール（スパムメール）を受信し、税金ウンヌンで言葉巧みに添付ファイルを開かせる手口は前から確認されてるけど、日本人をターゲットにした手口は珍しいが故に危なっ！

ほぼ同時期に、実在する運送会社を名乗り荷物の配達による不在通知を装った日本語表記の迷惑メール（スパムメール）が確認されてるけど、同一の攻撃者が仕掛けてるっぽい？

・荷物配達通知偽装メールはウイルス！配達員が注文番号? 委託運送状? 日本郵政EMS DHL

[2015年12月29日追記...]

友人を装って質問を投げかける偽メールのパターンも投入されてるみたいで、添付ファイル名『今年を振り返って』って何だヨｗ

濵田さんはTwitterを使っています: "最新のスパムはこんなものかな。マルウェアなのでご注意。件名：税務署から[5桁数字] 添付ファイル：今年を振り返って[10桁数字].zip（zipの中は1214201 wtxt.scr）本文：税務署から、こんなん届きました。納付書も入ってました。どうしたらいいですか？"
https://twitter.com/JojiHamada/status/676606954156888064

■ 斧田さんはTwitterを使っています: "今隈幸洋　という差出人から『税務署から、こんなん届きました。納付書も入ってました。どうしたらいいですか？』という添付ファイルがメールされてきた。絶対開けてはいけないやつ。"
https://twitter.com/yuiny0086/status/681369227803021313

[2016年1月16日追記...]

税務署を勝手に名乗る日本語表記の迷惑メール（スパムメール）が同じ文面「納税者の方へ～」で再びバラ撒かれたのを確認！

添付されてるのはZIP形式の圧縮ファイルなので、解凍してみるとRLOという文字処理を悪用して拡張子が偽装されたスクリーンセーバー（*.scr）の登場です！

ケース番号!? 拡張子が *.pdf となってるけど実際は *.scr！

Windowsパソコン上でダブルクリックしちゃったらウイルス感染アウトー！

a1bf1a5f9e3758bc54a5b44ccd65aa36 ... Win32/Dofoil
ab8f266fe7e7bc99e0568b4c54e57a5a ... 〃
f37e4bf150d03f9d8023c504920ab932 ... 〃
c29a4f4040b85f95a99dfc006f805d0e ... 〃

・

タグ：: #Windows

📅 2015/12/12 | ✏️ Firefly

【ハンゲーム】安全確認迷惑メールでフィッシング詐欺サイト誘導

【ハンゲーム】安全確認迷惑メールでフィッシング詐欺サイト誘導

ここ最近見かけなかったけど、オンラインゲームサイト ハンゲーム を勝手に名乗って成りすます日本語表記の迷惑メール（スパムメール）が久々に着弾！

件名【ハンゲーム】安全確認

◆既に報道されておりますが、オンラインサービスを提供している他社において

数千万件規模でID、パスワードやクレジット情報などの会員情報が不正アクセスの影響により流失したとの情報を確認いたしました。

◆本人確認のための認証メールを送信いたします。メールを受信して、記載されているURLをクリックしてください。 :

http：//www.hangame.co.jp/login/login?retURL=http%3A%2F%2Fwww.ncsoft.jp%2F

◆メンテナンス中の場合、会員登録手続きを行うことはできません。メンテナンス終了までお待ちください。
◆このメールアドレスは配信専用ですので、メッセージを返信しないようお願いいたします。
◆本メール内容に身に覚えが無い場合には、恐れ入りますが当メールを破棄してください。
Hangame ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
無料ゲーム?オンラインゲーム?PC ゲームのハンゲーム
http：//www.hangame.co.jp/　　　　　　　　　　　 <転載?転送?複写禁止>
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Hangame NHN PlayArt株式会社　http：//www.nhn-playart.com/ Copyright (C) NHN PlayArt Corp. All rights reserved.

スクエア・エニックス（スクエニ）を名乗る迷惑メールと同様に、以前から同じメッセージを使い回していて新鮮味ないけど、メール本文中のURLアドレスを踏むよう誘導してます。

『アラド戦記 - ハンゲーム』というタイトルの偽ログインページ

http：//hangame.co.jp.sc.xzvl[.]pw/index.html?app=wam&ref=
http：//hangame.co.jp.cx.mcux[.]pw/index.html?app=wam&ref=

誘導先は、公式サイトが以前採用してたデザインをパクって偽装されてるフィッシング詐欺サイトで、オンランゲームのアカウントを狙ってハンゲームのユーザーIDやパスワードを盗み取ろうとしてます。

＜ブラウザのURLアドレスに注意！

日本郵政EMS迷惑メールでウイルス感染! 配達員が注文番号? 委託運送状を印刷?

日本郵政EMS迷惑メールでウイルス感染! 配達員が注文番号? 委託運送状を印刷?

実在する運送会社を勝手に名乗って成りすまし、荷物を配達した 不在通知 のように装った日本語表記の迷惑メール（スパムメール）がバラ撒かれてます。

ドイツ系運送会社 DHL 、DHLジャパン
米国系運送会社 UPS 、UPSジャパン
実在しない EMS Japan 、EMS ジャパン
→ EMS は会社名ではなく国際郵便のサービス名
日本の JAPAN POSTジャパン 、日本郵政 、日本郵便 、郵便局

メールの内容は次のような文面となってて、怪しいと感じつつも必ずしも不自然ではない日本語で書かれてます。

＜文法的にメチャクチャではない

件名配達業者はお電話を差し上げることはできません。 / 番号[数字]の下で小包の配達 / 日本郵政公社トラック[数字] / 日本郵便追跡サービス [数字] / Hello, Our courier could not able to contact you
拝啓
配達員が注文番号[数字]の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。
従ってご注文の品はターミナルに返送されました。
ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。
このメールに添付されている委託運送状を印刷して、最寄りの[運送サービス名]取り扱い郵便局までお問い合わせください。
敬具

件名（なし）
こんにちは！添付ファイルになたの配信アドレスを確認してださい！
EMS-日本郵便

件名 Express Mail Service (EMS)
敬具
EMS（国際スピード郵便） ? 郵便局 ? 日本郵政

海外向けで FedEx や USPS（米国郵政）を名乗る英語表記の迷惑メールはよく目撃してるので、手口としては新しいことではないけど、完全な 本人狙い 偽メールというのは衝撃！

PDF文書に偽装した危険ウイルス！

添付ファイルはZIP形式の圧縮ファイルなので、解凍・展開してみると拡張子を偽装した

実行ファイル … 拡張子 .exe
スクリーンセーバー … 拡張子 .scr
スクリプトファイル … 拡張子 .js .wsf

といった形式のファイルが登場します。

＜Mac OS、Androidスマホ、iOS（iPhone/iPad）、ガラケーは動作対象外なので関係なし

マルウェア解析サイト Malwr にアップされてたファイルの現物を頂いたら、こんな感じになってます。

＜ダブルクリックしたら感染アウト！

アイコン画像が配達車マークやPDF文書に偽装されてる

手元のWindowsパソコン上で起動してみると、目に見える症状として ダミーの画像 で通知文書が表示され、ユーザーに誤認させるダマしの演出も確認できました。

＜ウイルス感染と気づかせないトリック

～実行ファイルを起動するとダミー画像でダマす～

コチラの注意喚起してる女性の方は ウイルスを起動して自爆してる はずで、それに気づいてないけど大丈夫かい…。

＜送り状ではなくウイルス！

『その商品かと思って添付されていた送り状を見てみると
すべて英文で　印刷しようとすると「画像がありません」と出てきます
新手の迷惑メール【なりすまし詐欺の手口】 - 松岡順子 [マイベストプロ福岡・佐賀]
http://mbp-fukuoka.com/glassevolve/column/9656/

・ 日本郵政を装った迷惑メールについて - 日本郵政
https://www.japanpost.jp/information/2015/20151218114836.html

Twitterのつぶやき

■ じゅねさんはTwitterを使っています: "先日こんなメールが届いたのだけど…DHLジャパンって所からメールきた事ある方います？ZIPファイル添付されてる。サイトを確認したらこんなページが設置されてたから、迷惑メールとして認識していいのかな…何か分かる方いたら教えて下さい…"
https://twitter.com/ju_riiin/status/674638964154765313

■ 夏白菊さんはTwitterを使っています: "DHLだかを語ったウィルスメールが一斉に送られてるらしく、早速添付ファイル開いてウィルス感染したバカがおる…。不在だから持ち帰ったよ、添付ファイルの書類で再配達依頼してねって、思い当たる節あるならまずはサイトで追跡かけるなり直接運送会社に確認しろよ…。"
https://twitter.com/natsushiragiku/status/674539336419840000

■ いまいさんはTwitterを使っています: "これはまた、DHLを騙ってウィルスを送りつけるあからさまに迷惑なメールがw"
https://twitter.com/_imai/status/674890017328660480

■ とんかつさんはTwitterを使っています: "DHLを騙ったウイルス添付メールは有名だが、ウチの社長はまんまと引っかかったらしい　もちろん添付ウイルスは駆除(隔離)されていたので危険はないが、なぜこんな怪しい文面のメール(DHLジャパンと記載があるものの日本語がたどたどしく、連絡先も書いてないw)を信じてしまうのか……"
https://twitter.com/12V5A/status/674866402868654080

■ まみ松さんはTwitterを使っています: "今日職場にDHLから「配達したいけどあんたの電話繋がらないから添付ファイルの不在票プリントアウトして最寄りの郵便局に持ってって」ってメール来た。年配の方から相談されたので「私、DHL利用したことないんですけど、普通はそんなアナログでなく、HPですよね」って言って捨ててもらった…"
https://twitter.com/shimaco1211/status/674898892022878209

■ atlanさんはTwitterを使っています: "DHL騙ったマルウェア入りスパムやはり拡張子をごまかしてたか。 "DHLの出荷ライン_AT886542136BS ?fdp.scr" が入ったzipだった。一見すると xxxxxx.rcs.pdf と見えるんだよな。"
https://twitter.com/atlan1701/status/674908762222690304

■ DannerさんはTwitterを使っています: "スパムフィルタをくぐり抜けてきたので新手かと思ったが、調べてみると5年以上前からあるみたいだな。DHLを騙るウィルス付きメール。"
https://twitter.com/danner_2009/status/674242150473728002

■ 子分さんはTwitterを使っています: "今度は前回のインチキDHLジャパンと同じ住所でEMS ジャパンから不在通知が来たぞ。しっかりとウィルスが入ってそうな添付ファイルと一緒に（笑）"
https://twitter.com/kobun_714/status/675530978769551360

■ たいまんねこさんはTwitterを使っています: "EMSジャパンを名乗る怪しいメール。登録の電話番号が誤っていたので配達できずに商品がターミナルに戻ったという内容だが、怪しいので検索したら似たようなケースが…　怪しさ満載なので添付ファイルは開けないのが賢明だと思います。"
https://twitter.com/lazycat6005/status/675563884296572928

■ 葉月ゆらさんはTwitterを使っています: "変な迷惑メールがきた。添付ファイルがウイルスらしい。「配達員が注文番号9307286の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。」"
https://twitter.com/yura_hatuki/status/681274449513938944

■ t0t0さんはTwitterを使っています: "どっからかアドレス漏れてるんかな？やたら昨日からEMSジャパンから連絡来るんやけど。何も頼んでないし一斉に転送してるからかいろんな人のアドレス載りまくってるし。なにこれ。"
https://twitter.com/t0t0_812/status/675504015434645504

■ t0t0さんはTwitterを使っています: "あとすえなが会計事務所ってとこからも転送メール来たけどそれも他の人のアドレス載りまくってるけど大丈夫なんかな…"
https://twitter.com/t0t0_812/status/675504284964806656

■ あやなさんはTwitterを使っています: "不在票メールかと思ったけど何でファイルが添付されてるの…？と疑って調べたらウイルス付きの迷惑メールらしい…！こわい！！ファイルは開いてないよ！！"
https://twitter.com/ayana0727xxx/status/676186375087980544

■ あ！っと！らっち！さんはTwitterを使っています: "#新手のSPAM、ウィルスのたぐい続き）このメールに添付されている委託運送状を印刷して、最寄りのJAPAN POST取り扱い郵便局までお問い合わせください。敬具 JAPAN POSTジャパンの宛先：〒554-#RANDONMUM(4)# 東京都港区芝浦4-13-23"
https://twitter.com/at_or_a/status/676327931396755456

■ みむさんさんはTwitterを使っています: "「番号○○の下で小包の配達」という日本郵政を騙る不審メールが来た、郵政からの問い合わせメールを装っているのに差出人メールがyahoo.comだったり、送り先がコピーで12件ぐらい表示されたりと雑すぎる（指南するつもりはないが）。何がしたいんだろう？"
https://twitter.com/mimuraakira/status/676309667740442624

■ 信濃の國_0908さんはTwitterを使っています: "@hetekon 偽メールです。 japan Postっていうと郵便？かと思いますが、番号を正規の郵便サイトから検索すると、そんな番号をありません。と表示されます。桁数も足りないし。まあ、文章的にもおかしいですが。開いたらきっとウィルスが…そんなところかと思います。"
https://twitter.com/SHINANO0908/status/676248912257228802

■ KazさんはTwitterを使っています: "珍しく日本語で書かれたウイルスメールが届いた。宅配番号****.SCRというファイルを開くと感染するようだけど、ESETやNetBarrierでは検出されなかった。VirusTotalでスキャンしたらまだ3つしか対応してなかった"
https://twitter.com/Kaz_Macintosh/status/684158395318812673

■ C-TYPEさんはTwitterを使っています: "日本郵政から「配達業者はお電話を差し上げることはできません」って件名のメールが来てて、最初の５秒くらい「うわ、ゆうパックで送った冬コミ新譜事故ったか？」とドキっとしたら、落ち着いて見返したらウイルスメールだったのでひと安心。これは修羅場でテンパってたら開けるかもなー。"
https://twitter.com/djctype/status/681805982695997440

■ 進撃♥ベリたん“助手(仮)”さんはTwitterを使っています: "【注意】さっき日本郵政公社からのメールが来て『商品を配達するため電話で連絡を差し上げたのですが、つながりません…添付されている委託運送状を印刷し…』と。でも何か奇妙な感じしたので速攻ググったら、やはり…添付ふぁいる開けるとウイルスらしい。あっぶないねぇ皆様お気を付け下さい。"
https://twitter.com/AOTBLEACH/status/683989173221511169

ウイルス検体やウイルス検出名

ネットバンキングウイルス、ランサムウェア、バックドア、トロイの木馬といった種類のマルウェア検体ファイルのMD5ハッシュ値です。

【ウイルス検体の一例】
06aca2fe6e26f4e08e4bb30da7c70e4b ... Win32/Rovnix
dd97514c0d17f22db1dc86f4e97f5f94 ... 〃
19a24df1db46d562d7e1551d4ed0be04 ... 〃
1f611153d68950b1b80b8ccbb367b1cd ... 〃
5f867fb80149f790512d324beb0ef9cc ... Win32/Nitol
fc8ad8f40c6869e3f9dc7e0adaf1465e ... Win32/Rovnix + Win32/Fareit
d4a41411bb99131e8df545ba47956375 ... Win32/Fareit
742508794a6ac6e83841159ee5509293 ... Win32/Rovnix
f48b4682ed887d6d7a04ff12445d9ebc ... Win32/Dofoil
484a6a2f74761792f24de9ba8b111216 ... 〃
7e6bb598e2204862c2f6a415a923e293 ... 〃
9293f0e8713a366cb2dd8df74d61f36e ... Win32/Crowti
6aba9f4f77d1c84c7edf4c1bf70088df ... Win32/Dofoil
ecbc6d41cd293eadcb93bd961fdbbb61 ... 〃
9443415a3cb30afac8d415749f92e52a ... Win32/Vawtrak
d142805e086c5f0683660a5ce5c65332 ... Win32/Dofoil
2c7483855836c0b59aadd070c95a7222