無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

2016/02

郵便局-日本郵政 拝啓配達員が注文番号? 迷惑メールはウイルス付き危険でネットバンキング不正送金
 
去年2015年12月から断続的に観測されてる 危険な脅威 になるけど、実在する配送会社を名乗って成りすまし、荷物の配達通知(不達)っぽく装った日本語表記の怪しい不審な 迷惑メール(スパムメール) の紹介です。
 
荷物配達通知偽装メールはウイルス! 配達員が注文番号? 委託運送状? 日本郵政EMS DHL 2015年12月11日
 
きのう2月15日らへんに、ロシアドメインの送信者として「郵便局 - 日本郵政」「日本郵政ジャパン」を名乗った偽メールが不特定多数にドバドバッと再びバラ撒かれた模様です。

件名 (なし)
送信者 郵便局 - 日本郵政 <~@rambler.ru>

{拝啓
{からのお知らせ日本郵便株式会社
配達員が注文番号[数字]の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。
従ってご注文の品はターミナルに返送されました。
ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。
このメールに添付されている委託運送状を印刷して、最寄りの郵便局 - 日本郵政取り扱い郵便局までお問い合わせください。
敬具
郵便局 - 日本郵政:
[数字]-[数字]
東京都港区芝浦4-13-23

メール本文に登場する [数字] の部分はメールごとにランダム生成なので、郵便番号はまず実在しないデタラメ数値になってるはず。
 
日本郵政を騙った不審メールが急増していますのでご注意ください - 日本郵政
http://www.japanpost.jp/information/2016/20160216115665.html

添付ファイルはWindowsパソコンを狙うウイルス

メールには ZIP形式の圧縮ファイル が添付されてます。
 
さっそく手動で解凍してみると、Windows向け スクリーンセーバーファイルの拡張子 *.scr) の登場です。 <ウイルスキタ━━━━(゚0゚)━━━━!!
 
イメージ 1
 
イメージ 3
ファイルの種類(拡張子)に注目! 決してダブルクリックして開いたらダメ!
 
【添付ファイル】
郵便局 _お問い合わせ番号_[数字]から100通JP.zip
お知らせ番号_郵便局 - 日本郵政_お問い合わせ番号_[数字]100通.zip
 ↓ 解凍
郵便局 - 日本郵政_お問い合わせ番号_[数字]から100通_FDP.SCR
郵便局 - 日本郵政_お問い合わせ番号_[数字]から100通‮FDP.SCR
 
ものスゴく古典的な手口だけど、”委託運送状” なるブツを印刷したいがため、Windowsパソコン上でこのスクリーンセーバーファイルを起動してしまえば ウイルス感染アウトーーーッ
 
ちなみに、Mac OS、Android/iPhoneスマホ、ガラケー らへんは起動しようがないので影響対象範囲外です。
 
なお、ポチポチッと起動した直後の症状として ダミーのイメージ画像 が表示され、まるで郵便局や日本郵政の通知を開いたとユーザーに思い込ませるダマしの演出まで用意されてます。
 
イメージ 2
ユーザーを欺いてウイルス感染に気づかせないよう装う伝票画像
 
この裏では、ネットバンキング不正送金ウイルス Rovnix(ロブニクス) の実行ファイルが外部ネットワークからひっそりとダウンロードされ起動するようになってます。
 
最終的に、感染マシン上でユーザーが正規ネットバンキングを利用するタイミングで情報が盗み取られ、大事な預金が赤の他人の口座へと不正送金されてしまう深刻な被害へと巻き込まれる?
 
Rovnixウイルス感染で偽画面が表示されネットバンキング不正送金被害が発生!
https://blogs.yahoo.co.jp/fireflyframer/33907510.html
 

 
[2月20日 追記...]
 
セキュリティ会社の注意喚起情報も出てます。
 
狙いは国内ネットバンキング、日本郵政を騙るマルウェアスパムが拡散 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/12884
 
特定の地域を狙う悪質なスパム活動、日本も標的に | Symantec
http://www.symantec.com/connect/node/3570661
 
郵便局-日本郵政や日本郵政ジャパンではなく、通販サイトの 楽天市場 に成りすましたかったと思われる「Racuten」(ラキュテン!?)名義の偽メールもバラ撒かれているそう。
 
存在しない委託運送状を送りつける例 Racuten Japan 【楽天市場】ヘルプ
http://ichiba.faq.rakuten.co.jp/app/answers/popup/a_id/22669

ウイルスメールに対応・対処できる知識を!

去年2015年に 日本年金機構のシステムが不正アクセスされ個人情報が大量に漏洩する事件 が発覚しメディアを騒がしたことは記憶に新しいけど、その手口は同じで
 
『もっともらしい日本語メールの添付ファイルを開いた』
 
ことが最初のキッカケでした。
  • 実在する会社や機関を名乗って正規のメールと思い込ませて必ずしも無視できない状況を演出する (メールの送信元は運良く偽装されておらずロシアドメイン.ru)
     
  • 明らかにメチャクチャな文法ではない ある程度まともな日本語メッセージで添付ファイルを開くよう誘導して心理的な隙を突いてる
言うまでもないけど、メールの添付ファイルには注意を払う必要があり、特にファイルの種類(拡張子)が何なのかユーザー自ら確認することはウイルス対策の基本です。
 
今回はなぜか スクリーンセーバー がメールで送られてくるという時点で 100%真っ黒 と判断できないユーザーさんだけ ”開く” という誤った行動をとってしまうワケです。

ウイルスのハッシュ値の一例

手元で確認してるウイルス検体のハッシュ値の一部と、オンラインスキャンサイト VirusTotal の結果です。
 
MD5 1ff4f4d4bff47b30d585dcb44fd0a479
www.virustotal.com/ja/file/103453eb4b96e90db1eb53d1924732786d698d87b2651d1ff41c31f64a117021/analysis/1455486906/

MD5 e03e3b385e194963b523cfa5f0b32fac
www.virustotal.com/ja/file/b3c4a170fdfb468518850fd8e2a11e29a928ea90db97f3ec05664fb93e4b316c/analysis/1455575268/ 

MD5 61f6d9e6d6d6d92d33a6a350cb5878ca
www.virustotal.com/ja/file/450ad818eb0b0f0938333d7e50e24819fb5e5d249370630b6c303a54fa1d4d30/analysis/1456013838/

MD5 8d4dad13e973f41862e821f0f9b5aa43
www.virustotal.com/ja/file/bf721128e94db3e097212951c2f499433b41d15d807bdc21a5f978171bfe9f7d/analysis/1456108293/
 
 ↓ ダウンロード
 
1957809d3d29248ea7a759086a496597 Win32/Rovnix
8c4318a33932fe063c4e2ecec5a2968d
44eb7dafd0c0ccb591ecc0708f39fb86
関連するブログ記事
このエントリーをはてなブックマークに追加

iPhone/iPadにウイルス付き迷惑メール! zipファイル開いたら感染被害?

イメージ 2
Image いらすとや

必ずしも守れないユーザーさん出てしまうウイルス対策 『怪しいメールを開くな!』 を紹介する内容ではありません。

質問Q

Apple の iOS を搭載したスマホ iPhone やタブレット iPadウイルス付き迷惑メール と思しきブツを受信!

うっかりメールの 添付ファイル(ZIP形式の圧縮アーカイブ) を開いちゃったけど感染した?  

答え → いいえ 

iOS はウイルス被害の遭遇率が低い

iOS アプリの入手経路は、Apple Inc. が管理する App Store での配信に限定されてます。

つまり、次のような状況は通常は起こりえないお話です♪
  1. ネットサーフィンしてる途中で端末にウイルスが強制インストールされる
  2. 迷惑メールの添付ファイルを開いて端末がウイルスに感染する
Windowsパソコン向けウイルスメールは影響なし

ZIP形式の圧縮アーカイブは Windowsパソコンを感染ターゲットにするウイルス を含んでる可能性が高く iOS は攻撃対象外の環境なので影響ありません。

そもそものお話として、iPhone や iPad にZIP形式の圧縮アーカイブが 届いても 解凍・展開して中身のファイルを閲覧することが不可能 です。 <iOS の標準機能として実装されてないから正常に開けない

イメージ 1

いちおう例外として、改造行為となる 脱獄(ジェイルブレイク) した端末だと勝手知らぬ野良アプリを取り込めてセキュリティのクソも無くなるけど、端末を正規に利用してる限り iOS はほぼウイルスフリー と考えて問題ないです。

iPhone & iPad 向けウイルス対策アプリがない

”ウイルス対策” をうたう iOS アプリが iPhone や iPad 向けに存在しないのはそのためで、逆に 偽のウイルス感染警告で不必要なアプリの導入を誘う詐欺広告 が確認されていてヤバ! <超悪質すぎで話題


Android OS を狙うウイルスは多め

逆に Android OS は、アプリ配信ストア Google Play 以外で野良アプリを自由に勝手にドコでも配布できるので、不正なAndroidアプリが投入されやすい土壌があって、セキュリティ会社からウイルス対策アプリもリリースされてます。

このエントリーをはてなブックマークに追加

Flash Player 20.0.0.306リリース 更新しないとウイルス・ランサムウェア感染
 
イメージ 1
旧バージョンがウイルス感染経路として悪用されまくって無料ブラウザアドオン Adobe Flash Player の最新バージョンがリリースされる~。
 
20.0.0.306
 
深刻なものも含む22件の脆弱性の修正を行うセキュリティアップデートで、Windowsパソコンの基本的なウイルス対策として適用されてることが超必須となります。
 
Security updates available for Adobe Flash Player APSB16-04 - Adobe Security Bulletin
https://helpx.adobe.com/security/products/flash-player/apsb16-04.html
 
 
ファイルを暗号化して破壊し復元を盾に身代金を要求するランサムウェア CryptoWallTeslaCrypt(拡張子 .micro) が強制感染する被害も Adobe Flash Player の更新を放置してることが原因になってます。
このエントリーをはてなブックマークに追加

↑このページのトップヘ