So-net無料ブログ作成

クレカの請求案内装うマルウェアメールに注意――明細確認で感染のおそれ [ウィルス/不正アクセス]

 実在する会社を装い、メール内のリンクをクリックさせてマルウェア(ウイルス)に感染させようとする攻撃が、先月下旬から断続的に続いている。クレカの支払日に合わせたのか、この1週間は、請求金額の案内メールになりすましたものが不特定多数にばらまかれている。

 先月29日には、通販サイトのNTT-X StoreとTRY×3、ホームセンターのナフコ、および佐川急便を装ったマルウェアメールについてお伝えした。今月12日には、その後にばらまかれたオリックス・クレジット、アドビ、NTT-X Storeを装ったマルウェアメールについてお伝えした。その後も同様の攻撃が続いており、12日以降は、楽天カードのなりすましが続いている。

 このメールは、差出人を「楽天カード株式会社」に偽装し、メールアドレスも同社から送られるメールとして紹介されている公式ドメインに偽装している。毎月引き落とし日が近づくと送られてくる、請求金額の案内メールを模した偽メールが届けば、疑うことなく開いてしまう方も多いだろう。これまでにばらまかれた偽楽天カードのマルウェアメールの件名は、以下の通り。

10/12 【重要】カスタマセンターからのご案内【楽天カード株式会社】
10/13 口座振替日のご案内【楽天カード株式会社】(楽天カード)
10/18 【楽天カード】ご請求予定金額のご案内
10/19 口座振替日のご案内【楽天カード株式会社】(楽天カード)
10/19 【楽天カード】ご請求予定金額のご案内
10/24 【楽天カード】ご請求予定金額のご案内

 メールの全文は、日本サイバー犯罪対策センター(JC3)のサイトで見ることができるが(執筆時点では10/24分が未掲載)。どれも違和感のない自然な日本語で書かれており、重要なお知らせや請求金額の詳細と称するリンクをクリックさせようとする。不審なところをあげるなら、宛先に複数のメールアドレスが列挙されている点や、リンク先が楽天カードとは無関係なサイトで、意味不明な英数字が連なる長いURLである点だろうか(一部末尾が.zipのものもある)。

 リンクをクリックすると、拡張子が「.zip」の「圧縮フォルダ形式」のファイルをダウンロードしようとする。例えば今日(10月24日)にばらまかれているメールでは、「料金明細をチェック.zip」と、それらしい名前の「ついたファイルだ。このzipファイルの中には「料金明細をチェック.DOC.js」というJavaScriptファイルが入っている。これはプログラムファイルのひとつで、開くとプログラムが実行され、外部からマルウェア本体をダウンロードしてパソコンに感染させてしまう。感染するのは、国内のネットバンキングの不正送金に使われている、バンキングマルウェアのUrsnif(アースニフ:別名Gozi、ISFB、DreamBotなど)とみられる。

 標準状態のWindowsは、ネットからダウンロードした.jsファイルを開こうとすると、「このファイルを開きますか?」という「セキュリティの警告」を表示するようになっている。ここでキャンセルすれば感染には至らないが、環境によっては問い合わせなしで実行してしまうので注意が必要だ。詳しくは、下記「関連記事」の「セキュリティトピックス」で解説しているのでご覧いただきたい。

(2017/10/24 セキュリティ通信)

【関連URL】
・楽天カードを装った不審なメールにご注意ください(楽天カード)
https://www.rakuten-card.co.jp/info/news/20171012/
・インターネットバンキングマルウェアに感染させるウイルス付メールに注意(JC3)
https://www.jc3.or.jp/topics/virusmail.html
・【2017/10/24】楽天カード株式会社を装ったばらまき型攻撃メールに関する注意喚起(電気通信大学情報基盤センター)
https://www.cc.uec.ac.jp/blogs/news/2017/10/20171024.html

【関連記事:セキュリティ通信】
・セキュリティトピックス:危険な「添付ファイル」――感染を防ぐ基本設定、誤開封後の対処法
http://www.so-net.ne.jp/security/news/newstopics_201708.html
・「詳しくはこちら」クリックに注意――自然な日本語のマルウェアメールが続々
http://security-t.blog.so-net.ne.jp/2017-10-12-1
・実在企業装うDL型マルウェアメール相次ぐ――リンク先クリックで感染のおそれ
http://security-t.blog.so-net.ne.jp/2017-09-29