ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ
最終更新日: 2018/04/25

楽天市場注文内容ご確認自動配信メールはウイルス 対策2つで感染防ぐ?

イメージ 1
Image いらすとや

詐欺メールが超巧妙すぎ!

ショッピングモール 楽天市場 内に実在する通販ストアを勝手に名乗った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

イメージ 2
楽天市場「注文内容ご確認」装う詐欺メール実例
件名 【楽天市場】注文内容ご確認(自動配信メール)
送信者 楽天市場 <order@rakuten.co.jp>
環境 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.2.0

ご注文ありがとうございます
Rakuten
楽天カード入会で5,000ポイント
買い物かご 購入履歴 ヘルプ
この度は楽天市場内のショップ「クレールオンラインショップ」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。(in English) 無題な濃いログ
ご注文内容
{注文番号 231963-20180106-00134809{注文番号 [数字]-20180416-[数字]{注文番号 [数字]-20180423-[数字]
{注文日時 2018-01-06 16:22:30{注文日時 2018-04-11 14:22:30{注文日時 2018-04-18 [数字]:[数字]:[数字]{注文日時 2018-04-19 [数字]:[数字]:[数字]{注文日時 2018-04-23 [数字]:[数字]:[数字]{注文日時 2018-04-24 [数字]:[数字]:[数字]
お問い合わせ先
クレールオンラインショップ
052-693-[数字]
問い合わせフォームから連絡
※下記内容については、上記の問い合わせ先より直接ショップにお問い合せください。
・商品やお取引に関するご不明点
・ご注文内容の変更(商品、決済・配送方法など)
・ご注文のキャンセル手続き
※ショップの情報・返品ポリシー・営業時間はこちら
※その他ご不明点がある場合は楽天市場のヘルプページをご確認ください。
2DINオーディオ/ナビ取付キット NK-H670DE ホンダ JF3 / JF4 N-BOX(H29/8〜現在) オーディオレス
ROOMに投稿する
5,670円 x 1個 = 5,670円 (税込、送料無料)
小計  5,670円
送料  0円
合計 5,670円
※送料等の諸費用は変わる場合があります
{今回のお買い物で、56ポイントを獲得しました{今回のお買い物で、388ポイントを獲得しました
・スーパーポイントアッププログラムに関するご注意 詳細について
 - 月間獲得ポイントの上限に達している場合は、実際に獲得するポイントが表示と異なる場合がございます。無題な濃いログ
 - スーパーポイントアッププログラム分の特典は、後日付与されます。特典により付与日が異なります。
詳細
送付先 〒871-0022 大分県中津市相原3553-[数字] 0979-22-[数字]
支払方法 クレジットカード決済  一括払い
配送方法 宅配便
配送日時指定 翌日配達「あす楽」を希望
備考 領収書をご希望のお客様は下記に「領収書」とご記載ください。
注文情報の詳細を確認する
ショップのメルマガに申し込む
お気に入りショップに登録
ご注意事項
・離島・一部地域では別途送料が必要な場合があります。
・消費税について
消費税率 8%
 消費税計算順序 1商品毎に消費税計算
 1円未満消費税端数 切り捨て
・お客様のお取引先は「クレールオンラインショップ」となりますので、ご不明な点、ご注文内容に誤りがある場合は、
直接ショップまでお問い合わせください。無題な濃いログ
・後日計算の送料等により、「全てのポイントを使う」を選択の場合でもお支払いの差額が生じる場合が
あります。
・楽天会員を利用したご注文の場合、キャンペーン特典ポイントが本メール記載の獲得ポイントとは別に計算、
付与される場合があります。ポイント利用・獲得履歴はこちら
 ・楽天市場ご利用上のご注意はこちら
・個人情報の取り扱いについては個人情報保護方針をご覧ください。
・よくある質問はこちら
・こちらの注文に覚えがない場合は、他の方が誤ってあなたのメールアドレスで注文した可能性があります。無題な濃いログ
その場合は、大変お手数ですが、上記ショップならびに楽天市場までお知らせください。
(English)Thank you for shopping at Rakuten. This e-mail is automatically generated in response to your order.
Please note that your order is not complete until confirmed by the seller.
To modify your order (item, payment, delivery, etc.), please contact the seller directly.
As this is an automated e-mail, please do not respond directly to this address.
Click here for Frequently Asked Questions.
楽天市場
発行元:楽天株式会社
詐欺メールは Rakuten のロゴマークを悪用して表示したり、日本語の文章の不自然さも見られず、パッと見の判断で怪しいところに気づない完成度の高さです。

ただ、メール本文中に20ヶ所ほどの不正なリンクが用意されてあります。

まったく見の覚えのない商品を購入した 「【楽天市場】注文内容ご確認(自動配信メール)」 でユーザーを動揺させて、このリンクをうっかりポチッとクリックしてもらうのが詐欺メールを仕掛けた攻撃者の最初の狙いです。

迷惑メールで騙られてるストア名の例
  • 楽天市場
  • クレールオンラインショップ
  • ぎおん (株)ヤサカ電気
  • TRYX3(トライスリー)楽天市場店
  • デンキヤ2ンラインショップ
  • ウルトラぎおん楽天市場店
  • マサニ電気株式会社 楽天市場店
  • Akindoオンラインショップ
  • 株式会社MOA
  • Ease Space-イーズスペース-
  • 〜FireflyFarmer
メール内に登場する楽天株式会社や楽天市場のストア名は、あくまで名前を騙られた成りすまし被害者にすぎないので誤解されませぬよう。

イメージ 8
Yahoo!知恵袋より偽メールに気づかないユーザー
成りすまされたところは可哀想すぎる…

誘導先は楽天フィッシングサイト?

楽天市場に偽装した詐欺メールから誘導先はどうなってる?

手元で実際にリンクを踏んでアクセスしてみると、次のように楽天市場のログイン画面に外観デザインが完璧に偽装されてる不正なページでした。

イメージ 3
「【楽天】ログイン」

ここには楽天会員ログインとして、ユーザーIDとパスワードの入力欄が用意されてあり、送信したアカウント情報を悪意のある第三者が盗む フィッシングサイト と分かります。

ブラウザのアドレスバーを見ることで、このフィッシングサイトの URL が正規の楽天市場 rakuten.ne.jp ではないことが明らかです。

ただ、メールの内容を真に受けて焦ってるユーザーさんは、もはや周りが見えなくなってるはずで異変に気づけないパターンです。

真の狙いはファイルのダウンロード

テキト〜にデタラメ情報(実際には何も入力せず空っぽでも先へ進める)を入力して [ログイン] ボタンをポチッと押すと?

画面左側のところに変化があり、そこには 「あなたのアカウントに異常な動きが検知〜」 なる案内が表示されました。

イメージ 4
「【楽天】ログイン」

あなたのアカウントに異常な動きが検知されました。 セキュリティのため、アカウントをロックしましたので、詳細情報をクリックしてアカウントを確認してください。無題な濃いログ [詳細情報]

ここで誘導されるように [詳細情報] ボタンをポチッと押すと、zip形式の圧縮アーカイブ 「もっと詳しくの情報はこちら.zip」 なるファイルをダウンロードするよう促されました。

イメージ 5
ファイルのダウンロード通知

手動でダウンロードしてきたこの圧縮ファイルを解凍・展開すると、中身はこんな感じで Windows の スクリプトファイル(拡張子 .js) が1つ入ってるのでした。

イメージ 6
ダウンロードしたファイルの中身
もっと詳しくの情報はこちら.PDF.js

詐欺メールの内容にいちおう合わせて、ユーザーにPDF文書と誤認させようとしてることが分かる 二重拡張子「〜.PDF.js」 が施されてます。

なお、このファイルの動作環境は Windows のみで、それ以外の環境 Mac OS X、Androidスマホ、iPhone/iPad、ガラケー らへんは影響せず大丈夫です。

ネットバンキングウイルスに感染

この.jsファイルを Windows パソコン上でポチポチッとダブルクリックして起動すると攻撃処理の発動です。

手元で実際に.jsファイルを開いた直後の Windows のプロセスの様子がコチラ♪

イメージ 7
jsファイルを開いた直後のプロセスの様子

その処理内容は Windows PowerShell(powershell.exe) を介して外部ネットワークに接続を試み、Windows 向け実行ファイル(拡張子 .exe)をダウンロードしてきてシレッと起動してます。

このダウンロードされてきた実行ファイルの正体は Ursnif(読み方 アースニフ、別名 Dreambot) と呼ばれてるマルウェアになります。

この Ursnif ウイルス は、2016年あたりから日本国内でネットバンキング不正送金被害が発生してるとしてニュースで名指しされてるものです。


攻撃の流れのまとめ

一連の攻撃の流れを簡単にまとめると、必ずしも無視できない巧妙な迷惑メールを起点にしてフィッシング詐欺とウイルス配信の2段構えになってます。
【攻撃の流れ パターン1】
 迷惑メール「【楽天市場】注文内容ご確認(自動配信メール)」など
 ↓ 本文中のリンクをクリック
楽天市場の偽ログインページ
 ↓
楽天会員アカウントの送信、ファイルのダウンロード
ファイル「もっと詳しくの情報はこちら.zip」
 ↓ アーカイブを解凍・展開する
ファイル「もっと詳しくの情報はこちら.PDF.js」(qlqfzrwvjxvjx.PDF.js
 ↓ ファイルをダブルクリックして開く
ウイルス感染アウト
また、フィッシング詐欺の場面がなくウイルス感染一本のパターンも投入されてます。
【攻撃の流れ パターン2】
迷惑メール「【楽天市場】注文内容ご確認(自動配信メール)」など
 ↓ 本文中のリンクをクリック
ファイル「もっと詳しくの情報はこちら.zip」
 ↓ アーカイブを解凍・展開する
ファイル「もっと詳しくの情報はこちら.PDF.js」(qlqfzrwvjxvjx.PDF.js
 ↓ ファイルをダブルクリックして開く
ウイルス感染アウト

【攻撃の流れ パターン3】
迷惑メール「【楽天市場】注文内容ご確認(自動配信メール)」など
 ↓ 本文中のリンクをクリック
ファイル「もっと詳しくの情報はこちら.pdf.js」「もっと詳しくの情報はこちら.pdf..js
 ↓ ファイルを開く
ウイルス感染アウト
何だかんだウイルス感染に至るまでには Windows ユーザーが手動で作業をする必要があり、『メールを開くだけでウイルス感染!』『本文中のリンクをクリックしたらウイルス感染!』 みたく即終了となる脅威では決してありません。

イメージ 9
ウイルス感染直前に表示される警告ウィンドウ

感染被害を回避するウイルス対策は?

フィッシングメールとしての対策 (Windows、Mac、スマホ)

フィッシング詐欺の対策は、とにかくメールにいちいち振り回されないことです。

とても簡単で安全な対処方法は、ブラウザから楽天市場の公式サイトに直接アクセスして購入履歴を確認することを徹底しましょう。 <ブラウザのブックマークや検索エンジン経由からでもOK

楽天メールが本物か偽物かいちいち見分ける作業なぞ 時間のムダ です。

ウイルスメールとしての対策 (Windows のみ)

『怪しいメールを開くな』  なんて言われるけど、ウイルスメール攻撃者は必ずしも実現困難にするイヤらしい戦略を投入してます。

ってことで、ネットバンキングウイルス感染は、攻撃者の仕掛ける手口に沿って 100%確実に攻撃失敗となる有効な Windows 向けウイルス対策2つ で最強バッチリです。

【1】 スクリプトファイルを無害化する

ウイルスメール攻撃者は スクリプトファイル(拡張子 .js/.jse/.vbs/.wsf) を開いてもらおうとしてます。

そこで、ファイルの関連付けを変更しておくと不正なスクリプトファイルを使ったウイルス感染手口はサッパリ通用しません。 <Windows の設定を変更するだけなので 無料

【2】 ファイアウォールを活用する

ウイルスメール攻撃者はダウンロード処理に正規プログラム powershell.exewscript.exe を悪用してます。

悪用する理由は、マイクロソフトに由来する正規プログラムであるが故にセキュリティ製品のスリ抜けに都合が良いからです。

そこで、あらかじめファイアウォールで外部通信をブロックしておくと、悪用される場面が発生しても攻撃者の意図した通りにいかずとても安心です。 <標準で実装されてる Windows ファイアウォールでも 無料 で対策できる

セキュリティトピックス

投入されてるスクリプトファイル、感染する Ursnif の実行ファイルの詳細です。

【スクリプトファイル】
1b553dd01aac5a7e53b96052a5bcb18b
www.virustotal.com/ja/file/0542e182667459b2cd637da6906f15d29751f28080d8556c31bc46a23c15ba1b/analysis/1521702178/

6cb2e954864f4b661de5aa07f04b1e80
www.virustotal.com/ja/file/d696653da07d270fa8471eac5e3f2a09a00dc22eb6d090b889aba5fd209900c3/analysis/1523427150/

c532c13dc3c433bb823ba6c67008c220
www.virustotal.com/ja/file/100e92ad6433515f29c12a783fa52c8017e8335aa3cce4f3697f535237e46dd1/analysis/1523543338/

a49d809767d89a971094f6eb9576572a
www.virustotal.com/ja/file/c85ee3804c003889e7e427381f6b6d4ac1a301b3fb63d5bfec3a363a0a42e1e6/analysis/1524119268/

8222ca23421b3318be9b829aac05df27
www.virustotal.com/ja/file/c182dc688a6b836d3fdfa4d590d443351efba1f265519924e959d63da0a6ca7c/analysis/1524207301/

3a72aaba026d02ce7950ba8f1f0ee60b
www.virustotal.com/ja/file/77a23e8d53b10f6f586ad77cb8b4f277e7bd6263f6ed51926f5c6f853c3bc7e2/analysis/1524549863/

572d3c2dc209c79a0827ec64fdb9c483
www.virustotal.com/ja/file/de32d78a9434a694e2a7836523d00682d0e8c3004a46e44ebb32df5cebf11f1b/analysis/1524636497/

ESET PowerShell/TrojanDownloader.Agent JS/TrojanDownloader.Agent
Kaspersky HEUR:Trojan.Script.Agent.gen
Microsoft Trojan:Win32/Vigorf.A TrojanDownloader:JS/Nemucod Trojan:Script/Cloxer.A!cl
Symantec ISB.Downloader!gen48 JS.Downloader
Trend Micro JS_NEMUCOD.ELDSAUXG JS_URSNIF.TIBOAK JS_DLOADR.AUSUIU JS_POWLOAD.ELDSAUIV JS_POWLOAD.ELDSAUIY

【実行ファイル】
ce7654fa57ea626784e0ec47fcb51611
www.virustotal.com/ja/file/7453d3f2d26a0676923b1e48875db426e1b6bb821d66b04c3d22752fdb87a87f/analysis/1521702508/

b3760ba774d36098682cfa3f66fe4c68
www.virustotal.com/ja/file/6f04345d7be6fead1d01b6fed4a0aa8990a4b139a85068a5eb0f349638848cef/analysis/1523428670/

f62fab450795aa6406d6ff3deece5b3b
www.virustotal.com/ja/file/4bc0433608ad7e5eb1d8efd93e12f25a26446ebeed68da7cb4301c7e9395f143/analysis/1523489902/

289fd556f97b8a2cbe66dd7b3a61fec3
www.virustotal.com/ja/file/68b02ba4ed79d5e12e147f66144d4fcbdcc317e05d75a6a11b05e3270a950938/analysis/1523544564/

da334d84a8288bc93d5b9f49f7482377
www.virustotal.com/ja/file/1d72853f609faac25623dec01b1e66dbb6f281147cc0e757e387bb9df3251c49/analysis/1524119386/

c942cf5d8eedf1848d0bedf331992728
www.virustotal.com/ja/file/1d78d54fabb98eefe957f97d16e33239fdc65f3db14a4c545bc10219db56bb89/analysis/1524206383/

95ccc45dffe1645be66165deb30ba2c4
www.virustotal.com/ja/file/d4bd7742f2479f1ee456db9ece8f617149fdc46ef6bf5245d3be3b9ebbd3923f/analysis/1524550754/

6e73af1ec48ae914337d997c75c62a16
www.virustotal.com/ja/file/ed5916e06a8db3b644412ac816417e2be3757a340456247e96cc55b155e390b3/analysis/1524637208/

ESET Win32/GenKryptik Win32/Kryptik Win32/Spy.Ursnif
Kaspersky UDS:DangerousObject.Multi.Generic Trojan-Spy.Win32.Ursnif
Microsoft Trojan:Win32/Ursnif
Symantec Trojan Horse Trojan.Gen.2
Trend Micro TSPY_URSNIF.TIBAIAZ TSPY_URSNIF.TIBAIBP TSPY_URSNIF.TIBAIBR TSPY_URSNIF.TIBAIBU TSPY_URSNIF.TIBAIBW

関連するブログ記事

この記事に

開くトラックバック(0)

【詐欺】Microsoftアカウント不審なサインイン迷惑メール フィッシングサイト誘導で危険!

イメージ 2
Image いらすとや

えっ!? Microsoftアカウントの不審なサインイン!!!

実在する企業 マイクロソフト に成りすました日本語表記の巧妙な 迷惑メール(スパムメール) が不特定多数にバラ撒かれており注意が必要です。

イメージ 1
マイクロソフト騙る迷惑メール実例

件名 Microsoftアカウントの不審なサインイン
送信者 Microsoftアカウントチーム <account-security-noreply@accountprotection.microsoft.com>
環境 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.2.0

オフィスソフトのプロダクトキー
不審の動きがあります
マイクロソフトセキュリティチームの調べによれば、あなたのオフィスソフトのプロダクトキーが何者かにコピーされている不審の動きがあります。無題な濃いログ
サインイン情報:
Windowsシステム: Windows 7 Ultimate
IP:220.31.254.151(静岡)
{日時:2018/3/20 (GMT){日時:2018/3/22 (GMT)
お客様がこれを実行した場合は、このメールを無視しても問題ありません。
お客様がこれを実行した覚えがない場合、悪意のあるユーザーがお客様のプロダクトキーを使っている可能性があります。こちらからはあなたの操作なのかどうか判定できないため、検証作業をするようお願いします。無題な濃いログ
今すぐ認証
サービスのご利用ありがとうございます。
Microsoftアカウントチーム

日本語の文章は若干変なところはあるもののメチャクチャでもありません。

水色で目立つ 「不審の動きがあります」 として、「IP 220.31.254.151(静岡)」 の 「Windows 7 Ultimate」 環境から Microsoft アカウントに不正アクセスがあったことを警告するもっともらしいマイクロソフトの通知になってます。

マイクロソフト偽装メール送信者は?

メール送信者は表面的には 「Microsoftアカウントチーム」 となっていて、さらにドメイン名も accountprotection.microsoft.com になってます。

これはマイクロソフトが不審なサインインを知らせる通知メールに使うことを公表してる正規メールアドレスと一字一句違わない完全一致です!

イメージ 7
マイクロソフト公表のメールアドレスと同じ!

お使いのアカウントで通常とは異なるサインインが発生した場合
マイクロソフトは代替の連絡先のすべてに通知を送信します。この通知は、メール メッセージまたはテキスト メッセージのいずれかです。メール メッセージの送信元が不明な場合は、送信者を確認します。Microsoft アカウント チームによる正規のメール メッセージの差出人は、account-security-noreply@accountprotection.microsoft.com です。
https://support.microsoft.com/ja-jp/help/13967

ただ、これは迷惑メール送信者が 偽装 してるだけで、ユーザーに本物のマイクロソフトの通知メールと誤解させるための詐欺トラップです。

誘導先はフィッシングサイト

迷惑メール送信者の狙いは?

衝撃的な内容で驚かせてユーザーを動揺させてから 「今すぐ認証」 リンクをうっかりポチッとクリックさせることです。

手元で誘導先へアクセスしてみると、Microsoft Office の公式サイトっぽくデザインが偽装されてる不正な日本語ページが表示されました。

イメージ 3
「Microsoft Office 家庭やビジネスで活用できるソフトウェア」

ご注意!!OFFICEのプロダクトキーが 不正コピーされています
お客様のOfficeのプロダクトキーが 不正コピーされていることが日本マイクロソフトに検出されました。正規版の利用者であれば、日本マイクロソフトの認証にご協力ください。でなければ24時間後に当プロダクトキーを無効にします 無題な濃いログ
[今すぐ認証]


日本語の言い回しが不自然だけど、早く対応しないと Microsoft Office を使用できなくするぞい、と急かせます。

[今すぐ認証] をクリックして先へ進めると、Microsoft アカウントのサインインページっぽく偽装されてる不正なページが表示されます。

イメージ 4
「サインイン Microsoft アカウントを使用してください」

ここにはユーザー名(メールアドレス、電話番号、Skype ID)とパスワードの入力欄が用意されてありました。

マイクロソフトではない赤の他人が Microsoft アカウントの情報を盗みとるための危険な フィッシングサイト と分かります。

個人情報や金融情報も盗む

テキトーな情報を送信して先へ進めると?

今度は個人情報(氏名、住所、電話番号)とクレジットカード情報(クレカ番号、有効期限、名義人、セキュリティコード)を要求するようになってました。

イメージ 5
PINコードを用いてOfficeを守ります 詳しいお客様情報の追加

イメージ 6
お支払い情報の追加

PINコードを用いてOfficeを守ります
PINコードと本パソコンのOffice認証コードを併用することで、万が一Office認証コードが故障し、または紛失した場合、PINコードで修復可能です。
*ライセンス認証(マイクロソフトプロダクトアクティベーション)とは、不正コピーを防止するための技術で、手続きは、短時間で簡単に実行できますまた、この手続きは匿名で行われるので、お客様の個人情報は保護されております。無題な濃いログ
詳しいお客様情報の追加
アカウント認証のため、さらに多くの情報が必要です。
お支払い情報の追加
Microsoft では、お客様のプライバシー保護に努めております。詳細については、プライバシーとクッキーをお読みください。


すべての情報を送信してしまえば、こちらの身元が全パレで身ぐるみ剥がさたような状態となり、さらに金銭的な実被害が想定されます。

ウイルス感染攻撃?

このマイクロソフト偽装の迷惑メールやフィッシングサイトで、ウイルスに感染させる場面はいっさいありませんでした。

言い換えると、Windows パソコンだけでなく、ネットに接続しうる Mac OS X、Androidスマホ、iOS(iPhone/iPad) も影響を受けるのがフィッシング詐欺です。

フィッシング詐欺の対策は?

Microsoftフィッシングサイトの見分け方

詐欺メール攻撃者はマイクロソフトに成りすます努力でユーザーを欺き、上のようにパッと見の見た目で不自然なところに気づけない恐れがあります。

そこで、ブラウザのアドレスバーに表示されてる URL がマイクロソフトの公式サイト microsoft.com や live.com か確認してください。

イメージ 8
マイクロソフト正規ログインページ

【マイクロソフト偽装フィッシングサイト】
http://rec0very-supp0rt-micr0s0ft[.]org/
http://recvery-supprt-micr0s0ft[.]org/
 ↓ リダイレクト
http://recovery-support-microsoft[.]com/rmd_nid_vcss? 〜
http://recovery-support-office[.]com/rmd_nid_vcss? 〜

フィッシングメールの対処方法

この手の 「Microsoft アカウントの不審なサインイン」 メールを受け取ると、本物か偽物か頑張って見分けようとするユーザーさんいないでしょうか?

詐欺メールを見抜こうとする作業は、ハッキリ言って 時間のムダ です。

簡単かつ安全に対処できる方法は マイクロソフトの公式サイトにあるサインインページにブラウザから直接アクセスする だけです。 <ブラウザのブックマークや検索エンジン経由でもOK

→ https://account.microsoft.com/

そして、通常どうりにサインインしてアカウントの状況を確認することで、マイクロソフトを装うフィッシング詐欺の手口にハマることはありません。
関連するブログ記事

最終更新日: 2018/03/23

この記事に

開くトラックバック(0)

ちょうど試してクリック!? 変な日本語迷惑メール正体は出会い系サイトiamnaughty勧誘

イメージ 8
Image いらすとや

読まずに無視するのはなかなか困難なものの、かなり怪しすぎて笑ってしまう変な日本語の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

手元で受信した迷惑メールの現物がコチラ♪

イメージ 1
何だコレw な迷惑メール実例

あまりに異様で目に留まってしまう不審な迷惑メールなので、Twitter にはメールを受け取ったユーザーさんたちのお話が結構挙がってました。

■ だるくくすべる。さんのツイート: "あたしのメアドからあたしあてに届いた! ちょうどクリック… " こんにちは あなたは今夜女の子が欲しいですか ちょうどクリック
https://twitter.com/Qthvel/status/975674563068682240

■ ざらめのくまさんさんのツイート: "なんか物語が始まりそうなタイトルと文面の迷惑メール来た… 太字になってる「ちょうどクリック」は特にリンク貼られてたりとかはしない… " 一緒に遊ぼう! おやすみしたいですか ちょうどクリック
https://twitter.com/taiyaki0904/status/975623265346469889

■ anachronismさんのツイート: "なんだこれ?本日の変なメール。 〝ちょうど試して〟惜しい。… " こんにちは、あなた おやすみしたいですか ちょうど試して!
https://twitter.com/anachronism1030/status/975625838501748736

■ Hollyさんのツイート: "ヘンな日本語スパムの原文が英語っていうのはなんとなくわかった(・。・) 「ちょうど試して!」 ← Just try! 「あなたの中のかなりの女性があなたを待っています」の「あなたの中のかなりの」がよくわからん…… "
https://twitter.com/hollyzombie/status/975483012514222081

■ ふうみさんのツイート: "あなたの中のかなりの女性があなたを待っています ちょうどクリック… " 最高の女の子があなたの街であなたを待っています! 見てみましょう! 今夜はお嬢さんをしたいですか? 楽しい? あなたの中のかなりの女性があなたを待っています ねえ! あなたは今夜楽しみたいですか?
https://twitter.com/fooooomi/status/976015595551391744

《特徴1》 メール送信者は自分自身!?

メール送信者が自分自身のメールアドレスに偽装されてます。

つまり、送信者と受信者のメールアドレスが完全に一致していて、表面的には 自分が自分に宛てて変なメールを送った形 になってました。

これはスパマーによるスパムフィルタのスリ抜け対策だと思われます。

《特徴2》 迷惑メール本文はわずか2行

1行目は何か変な日本語で誘い文句、
2行目は  「ちょうど試して!」「今すぐやってみて下さい!」「ここをクリック!」「ちょうどクリック」「見てみましょう!」 でリンクになってました。

迷惑メール送信者は海外?

手元で受信した迷惑メールのヘッダー情報を確認すると、メールの送信IPは 106.223.223.159 になってます。 <地理的な位置はインド

イメージ 2
迷惑メールのヘッダー

スパム対策のブラックリスト提供サイト abuseat.org でこのIPアドレスを引いてみると、ウイルス感染した PC を攻撃者が遠隔操作してメール配信に悪用してるボットネットの判定が返ります。

イメージ 3
スパム送信ボット Gamut

セキュリティ会社マカフィーによると、このスパムメール送信ボット Gamut はクソな宣伝メールを配信するのが生業みたい。

「第2四半期は、Gamutボットネットが再び総数第1位に浮上し、求人関連や偽医薬品の迷惑メールを拡散し続けています。」
https://www.mcafee.com/jp/about/news/2017/q4/1012-01.aspx

「Gamutボットネットは、2016年第1四半期で最も増殖したスパムボットネットになり、約50%増加しています。一般的なスパム攻撃では、一攫千金の手口や海賊版医薬品を勧めてきます。」
https://www.mcafee.com/jp/about/news/2016/q2/0617-01.aspx

誘導先は海外の出会い系サイト

変な迷惑メールの目的は?

さっそく誘導リンクをポチッとクリックすると、ヌ−ド写真がどうたらこうたらとしてHな雰囲気の怪しげな日本語ページが表示されました。

イメージ 4
「ヌ−ド写真が表示されます 他言しないでください」

イメージ 5
「プライベートなヌ−ド写真をシェアしたいそうです」

しょっぱなからキナ臭い印象です。

ここから先へ進めていくと、最終的に海外の デートサイト(出会い系サイト) の会員登録ページにたどり着くのでした。

イメージ 6
「相手探しも今日でお終い。
ここなら今夜の相手が見つかります!」

高額な宣伝報酬?

なお、このデートサイト iamnaughty[.]com には、日本からの有料会員獲得で成功報酬147ドル(=約1万5千円)を支払う広告案件が出てることを確認してます。

イメージ 7
デートサイト iamnaughty[.]com 広告案件

【関連ドメイン】
affairdating[.]com buddygays[.]com flirt[.]com gaysgodating[.]com iamnaughty[.]com iwantu[.]com loveaholics[.]com romancetrain[.]jp upforit[.]com …

日本語に疎い海外の迷惑メール送信者が、恐らくこの報酬を狙って日本にふざけたメールを大量にバラ撒く迷惑な行為を実行したのでしょう。
関連するブログ記事

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事