読者です 読者をやめる 読者になる 読者になる

関西大阪フリーWEBプランナーの独り言、WEB・ショッピングサイト構築、販売促進・販路拡大の戦略をサポート

DTPオペレーター・営業・WEBコンサルタントの経歴を経てWEBプランナーの仕事をしている者のブログです。

件名:日本郵便 - 日本郵政を偽る迷惑メールはウイルス付き危険でネットバンキング不正送金

IT
去年2015年12月から断続的に観測されてる 危険な脅威 になるけど、実在する配送会社を名乗って成りすまし、荷物の配達通知(不達)っぽく装った日本語表記の怪しい不審な 迷惑メール(スパムメール の紹介です。

 

 
私のところでもヤフオクストアの所にメールがきます。
海外とのやり取りもあるので一瞬もしかしてと思ったが、使用しているメールアドレスが違ったのでスパムと思い放置してきたのだが本日また来たのでブログに警告の意味を込めて記載します。

 

-----------下記送信者------------

日本郵便 - 日本郵政 

-----------下記本文------------

拝啓
配達員が注文番号 [数字]の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。このメールに添付されている委託運送状を印刷して、最寄りの日本郵政取り扱い郵便局までお問い合わせください。
敬具
日本郵政ジャパンの宛先:
[数字]-[数字]
東京都港区芝浦4-13-23
MS芝浦ビル13F
日本郵政
[数字]  [数字]

---------------------------

メール本文に登場する [数字] の部分はメールごとにランダム生成なので、郵便番号はまず実在しないデタラメ数値になってるはず。
 
日本郵政を騙った不審メールが急増していますのでご注意ください - 日本郵政
http://www.japanpost.jp/information/2016/20160216115665.html

添付ファイルはWindowsパソコンを狙うウイルス

メールには ZIP形式の圧縮ファイル が添付されてます。
 
さっそく手動で解凍してみると、Windows向け スクリーンセーバーファイルの拡張子 *.scr) の登場です。 <ウイルスキタ━━━━(゚0゚)━━━━!!
 

f:id:alex888:20160316101458p:plain

 

f:id:alex888:20160316101519p:plain


ファイルの種類(拡張子)に注目! 決してダブルクリックして開いたらダメ!
 
【添付ファイル】
郵便局 _お問い合わせ番号_[数字]から100通JP.zip
お知らせ番号_郵便局 - 日本郵政_お問い合わせ番号_[数字]100通.zip
 ↓ 解凍
郵便局 - 日本郵政_お問い合わせ番号_[数字]から100通_FDP.SCR
郵便局 - 日本郵政_お問い合わせ番号_[数字]から100通‮FDP.SCR
 
ものスゴく古典的な手口だけど、”委託運送状” なるブツを印刷したいがため、Windowsパソコン上でこのスクリーンセーバーファイルを起動してしまえば ウイルス感染アウトーーーッ
 
ちなみに、Mac OSAndroid/iPhoneスマホガラケー らへんは起動しようがないので影響対象範囲外です。
 
なお、ポチポチッと起動した直後の症状として ダミーのイメージ画像 が表示され、まるで郵便局や日本郵政の通知を開いたとユーザーに思い込ませるダマしの演出まで用意されてます。
 

f:id:alex888:20160316101536p:plain


ユーザーを欺いてウイルス感染に気づかせないよう装う伝票画像
 
この裏では、ネットバンキング不正送金ウイルス Rovnix(ロブニクス) の実行ファイルが外部ネットワークからひっそりとダウンロードされ起動するようになってます。
 
最終的に、感染マシン上でユーザーが正規ネットバンキングを利用するタイミングで情報が盗み取られ、大事な預金が赤の他人の口座へと不正送金されてしまう深刻な被害へと巻き込まれる?
 
Rovnixウイルス感染で偽画面が表示されネットバンキング不正送金被害が発生!
http://blogs.yahoo.co.jp/fireflyframer/33907510.html
 

 
[2月20日 追記...]
 
セキュリティ会社の注意喚起情報も出てます。
 
狙いは国内ネットバンキング、日本郵政を騙るマルウェアスパムが拡散 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/12884
 
特定の地域を狙う悪質なスパム活動、日本も標的に | Symantec
http://www.symantec.com/connect/node/3570661
 
郵便局-日本郵政日本郵政ジャパンではなく、通販サイトの 楽天市場 に成りすましたかったと思われる「Racuten」(ラキュテン!?)名義の偽メールもバラ撒かれているそう。
 
存在しない委託運送状を送りつける例 Racuten Japan 【楽天市場】ヘルプ
http://ichiba.faq.rakuten.co.jp/app/answers/popup/a_id/22669

ウイルスメールに対応・対処できる知識を!

去年2015年に 日本年金機構のシステムが不正アクセスされ個人情報が大量に漏洩する事件 が発覚しメディアを騒がしたことは記憶に新しいけど、その手口は同じで
 
『もっともらしい日本語メールの添付ファイルを開いた』
 
ことが最初のキッカケでした。
  • 実在する会社や機関を名乗って正規のメールと思い込ませて必ずしも無視できない状況を演出する (メールの送信元は運良く偽装されておらずロシアドメイン.ru)
     
  • 明らかにメチャクチャな文法ではない ある程度まともな日本語メッセージで添付ファイルを開くよう誘導して心理的な隙を突いてる
言うまでもないけど、メールの添付ファイルには注意を払う必要があり、特にファイルの種類(拡張子)が何なのかユーザー自ら確認することはウイルス対策の基本です。
 
今回はなぜか スクリーンセーバー がメールで送られてくるという時点で 100%真っ黒 と判断できないユーザーさんだけ ”開く” という誤った行動をとってしまうワケです。

ウイルスのハッシュ値の一例

手元で確認してるウイルス検体のハッシュ値の一部と、オンラインスキャンサイト VirusTotal の結果です。 

 

 
MD5 1ff4f4d4bff47b30d585dcb44fd0a479
www.virustotal.com/ja/file/103453eb4b96e90db1eb53d1924732786d698d87b2651d1ff41c31f64a117021/analysis/1455486906/

MD5 e03e3b385e194963b523cfa5f0b32fac
www.virustotal.com/ja/file/b3c4a170fdfb468518850fd8e2a11e29a928ea90db97f3ec05664fb93e4b316c/analysis/1455575268/ 

MD5 61f6d9e6d6d6d92d33a6a350cb5878ca
www.virustotal.com/ja/file/450ad818eb0b0f0938333d7e50e24819fb5e5d249370630b6c303a54fa1d4d30/analysis/1456013838/

MD5 8d4dad13e973f41862e821f0f9b5aa43
www.virustotal.com/ja/file/bf721128e94db3e097212951c2f499433b41d15d807bdc21a5f978171bfe9f7d/analysis/1456108293/
 
 ↓ ダウンロード
 
1957809d3d29248ea7a759086a496597 Win32/Rovnix
8c4318a33932fe063c4e2ecec5a2968d
44eb7dafd0c0ccb591ecc0708f39fb86