ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ

書庫全体表示

楽天カードカスタマセンター口座振替日ご案内メールでウイルス感染 対策は?

イメージ 2
Image いらすとや

先月9月から不特定多数にバラ撒かれてる実在企業に成りすました日本語表記の 迷惑メール(スパムメール) は、新たに 楽天 のクレジットカード会社を騙るパターンが投入されてます。
件名 【重要】カスタマセンターからのご案内【楽天カード株式会社】
送信者 楽天カード株式会社 <support@mail.rakuten-card.co.jp>

━━━━━
【重要】カスタマセンターからのご案内
━━━━━
平素は、楽天カードをご愛顧賜り誠にありがとうございます。
当社からの重要なご案内をお送りいたしますので、
下記内容をご確認いただきますよう、何卒お願い申し上げます。
ただいま、お客様からの変更処理に基づいて会員登録情報が変更されました。
万が一、本メールの内容に覚えがない場合には以下までお問い合わせください。
http://rakuten-card.co.jp/accountID[数字]/confirmation
https://www.rakuten-card.co.jp/e-navi/members/information/customer/index[数字]
※このメールはお客様の会員登録の情報が変更されたことをお知らせする重要なご連絡です。
なお、携帯電話からは本サイトをご覧いただけませんので、パソコン又はスマートフォンからお手続き願います。(※スマートフォンの一部ではご利用いただけません。)
━━━━━
<お問い合わせ先>
楽天カード株式会社 カスタマセンター
電話番号:0570-[数字]-[数字]
(一部ご利用いただけない場合は092-[数字]-[数字]をご利用ください。)
営業時間:8:15-20:40
━━━━━
※このメールの送信アドレスは送信専用となっておりますので、
本メールへのご返信はご遠慮いただきますようお願いいたします。
━━━━━
発行元  楽天カード株式会社
━━━━━
件名 【重要】カスタマセンターからのご案内【楽天カード株式会社】
送信者 楽天カード株式会社 <support@mail.rakuten-card.co.jp>

━━━━━
【重要】カスタマセンターからのご案内
━━━━━
(ご注意:本メールにご返信頂くことはできません。)
平素は、楽天カードをご愛顧賜り誠にありがとうございます。
当社からの重要なご案内をお送りいたしますので、
下記内容をご確認いただきますよう、何卒お願い申し上げます。
━━━━━
  お客様への重要なお知らせ
━━━━━
http://rakuten-card.co.jp/importantnotice/[数字]
なお、携帯電話からは本サイトをご覧いただけませんので、パソコン又はスマートフォンからお手続き願います。(※スマートフォンの一部ではご利用いただけません。)
━━━━━
<お問い合わせ先>
楽天カード株式会社 カスタマセンター
電話番号:0570-[数字]-[数字]
(一部ご利用いただけない場合は092-[数字]-[数字]をご利用ください。)
営業時間:8:15-20:40
━━━━━
※このメールの送信アドレスは送信専用となっておりますので、
本メールへのご返信はご遠慮いただきますようお願いいたします。
━━━━━
発行元  楽天カード株式会社
━━━━━
件名 【重要】カスタマセンターからのご案内【楽天カード株式会社】
送信者 楽天カード株式会社 <support@mail.rakuten-card.co.jp>
━━━━━
【重要】カスタマセンターからのご案内
━━━━━
(ご注意:本メールにご返信頂くことはできません。)
平素は、楽天カードをご愛顧賜り誠にありがとうございます。
当社からの重要なご案内をお送りいたしますので、
下記内容をご確認いただきますよう、何卒お願い申し上げます。
□■━━━
■ 振込先口座のご確認方法について
━━━━━
下記から楽天e-NAVIにログインいただき、ご確認いただけます。
   ▼お客様への重要なお知らせ▼
     詳しくはこちら
なお、携帯電話からは本サイトをご覧いただけませんので、パソコン又はスマートフォンからお手続き願います。(※スマートフォンの一部ではご利用いただけません。)
━━━━━
<お問い合わせ先>
楽天カード株式会社 カスタマセンター
電話番号:0570-[数字]-[数字]
(一部ご利用いただけない場合は092-[数字]-[数字]をご利用ください。)
営業時間:8:15-20:40
━━━━━
※このメールの送信アドレスは送信専用となっておりますので、
本メールへのご返信はご遠慮いただきますようお願いいたします。
━━━━━
発行元  楽天カード株式会社
━━━━━
件名 口座振替日のご案内【楽天カード株式会社】(楽天カード)
送信者 楽天カード株式会社 <info@mail.rakuten-card.co.jp>

━━━━━
   楽天カードからのお知らせ
━━━━━
いつも楽天カードをご利用いただきありがとうございます。
----------
{今月の楽天カードの口座振替日は10月16日(月)です。{今月の楽天カードの口座振替日は10月20日です。{今月の楽天カードの口座振替日は10月27日です。{今月の楽天カードの口座振替日は11月17日です。{今月の楽天カードの口座振替日は11月21日です。 {今月の楽天カードの口座振替日は11月30日です。
{(楽天カードの口座振替日は毎月16日になりますが、休日の場合は、{(楽天カードの口座振替日は毎月20日になりますが、休日の場合は、{(楽天カードの口座振替日は毎月27日になりますが、休日の場合は、{(楽天カードの口座振替日は毎月24日になりますが、休日の場合は、 {(楽天カードの口座振替日は毎月30日になりますが、休日の場合は、翌営業日となります。)
翌営業日となります。)
{ご登録口座の残高のご準備は10月13日(金)までにお願いいたします。{ご登録口座の残高のご準備は10月20日(金)までにお願いいたします。{ご登録口座の残高のご準備は10月27日(金)までにお願いいたします。{ご登録口座の残高のご準備は11月17日(金)までにお願いいたします。{ご登録口座の残高のご準備は11月21日(金)までにお願いいたします。 {ご登録口座の残高のご準備は11月29日(金)までにお願いいたします。
〜お客様のご請求金額のご確認はコチラ〜
http://rakuten-card.co.jp/client[数字]/chargedamount

すでにご確認・ご準備いただいているお客様につきましては、
重なるご案内になりますが、何とぞご了承いただきますよう
お願い申し上げます。
-----
■口座振替に関するよくあるお問い合わせ
 ̄ ̄ ̄ ̄ ̄
・当日に口座に入金したのに、すでに口座振替が終わっていた。
休日の預け入れや、当日の口座振替時間帯は、金融機関によって異なります。
口座振替の前営業日までに、ご登録口座へ残高のご準備をお願いいたします。
・口座振替が完了しているのに、利用可能額に反映されない。
お支払い日の口座振替結果の情報が、金融機関より弊社へ反映するまでに
通常2〜4営業日のお時間を要します。
口座振替結果の情報が入り次第、カードのご利用額へ反映いたします。
ただし、ご請求口座が�楽天銀行�で以下の場合は、口座振替の結果を
お支払い日の当日中に反映しております。
{毎月16日の前営業日までにご請求金額を口座にご準備いただきかつ、{毎月25日の前営業日までにご請求金額を口座にご準備いただきかつ、{毎月30日の前営業日までにご請求金額を口座にご準備いただきかつ、
{16日(金融機関が休業日の場合、翌営業日)お引き落し済みの場合。{25日(金融機関が休業日の場合、翌営業日)お引き落し済みの場合。 {30日(金融機関が休業日の場合、翌営業日)お引き落し済みの場合。
■口座振替ができなかった場合の注意点
 ̄ ̄ ̄ ̄ ̄
・キャッシングサービスのご利用ができなくなり、
 再度審査が必要となることがあります。
・楽天e-NAVIの一部サービスがご利用いただけなくなることがあります。

・キャンペーンの対象外となることがあります。
■便利なサービスのご案内

 ̄ ̄ ̄ ̄ ̄
 楽天カードのネットキャッシングなら、
 口座振替の口座に最短数分でお振込みできます!
 こんな時は「ネットキャッシング」♪
  ̄ ̄ ̄ ̄ ̄
  ・忙しくてATMに行く時間がない。
  ・すぐに口座にお金が必要。
 ネットキャッシングは、楽天e-NAVIからカンタンにお申し込みができて、
 最短数分でお振込み♪
 パソコンはもちろん、携帯やスマートフォンでも楽天e-NAVIから手続きできます!
 ネットキャッシングの詳細は「キャッシングサービスご利用ガイド」
 をご確認ください。
〜「キャッシングサービスご利用ガイド」はコチラ〜
http://rakuten-card.co.jp/serviceinformation/[数字]
※楽天カード アカデミーおよびキャッシング枠が付帯されていない
 会員様につきましては、キャッシングサービスのご利用が出来ませんので、
 あらかじめご了承ください。
━━━━━
【重要】━━━━━
不正な画面を表示させて会員様の情報を盗み取ろうとする犯罪にご注意ください
━━━━━
会員様のパソコンがウィルスに感染したことにより、
会員様が楽天e-NAVIへログインする際に、不正な画面(偽画面)が
表示される事例が確認されています。
このような偽画面は、会員様のカード番号、有効期限、セキュリティコード等の
カード情報を聞きだし、会員様の名義で不正利用することを目的としたものです。
━━━━━
楽天e-NAVI メンテナンス情報 >> 詳しくはこちら
http://rakuten-card.co.jp/e-navi/option[数字]
━━━━━
■このメールはMSゴシックなどの等幅フォントで最適にご覧いただけます。
■弊社からのメールを希望されない会員様へも重要なお知らせとして
配信しております。
 誠に勝手ながらこのお知らせメールの配信停止はいたしかねますので、
 何とぞ、ご了承ください。
■このメールアドレスは配信専用となっております。
 返信いただいても対応はいたしかねますのでご了承ください。
━━━━━
発行元  楽天カード株式会社
━━━━━
「発行元 楽天カード株式会社」 と称し、企業から送信されてきても不自然ではないメールの雰囲気がアリアリな上に、文法的に怪しい表現もなく完璧な日本語で書かれてあります。 <あえて挙げれば 「カスタマ(ー)センター」 ぐらい?

.jsファイルを開かせる攻撃手口

メールに添付ファイルはなく、本文中の次のようなリンクが記載されてます。
  • 詳しくはこちら
  • 〜お客様のご請求金額のご確認はコチラ〜
  • 〜「キャッシングサービスご利用ガイド」はコチラ〜
  • http://rakuten-card.co.jp/ 〜
  • http://www.rakuten-card.co.jp
ここをポチッとクリックすると、楽天カードの詐欺サイトが表示されるワケではなく、不審なzip形式の圧縮アーカイブがダウンロードされました。

これを解凍・展開して中身を確認すると、次のような Windows の スクリプトファイル(拡張子 .js) が入ってました。ファイルの形式 に注目すると文書でない!

イメージ 5
「詳細情報楽天銀行.PDF.js
(fqvjrxma.PDF.js

イメージ 1
「詳細内容 をチェック.doc.js
(fqrd gbbdj.doc.js

イメージ 4
「楽天カードからのお知らせ.DOC.js
(rxfijnxwmnxd.DOC.js

この.jsファイルをWindowsパソコン上でダブルクリックして開くと、裏側で Ursnifウイルス がシレッとダウンロードされてきて感染です。 <ネットバンキング不正送金に繋がるマルウェア!

手元で.jsファイルを開いた直後のプロセスの様子は次のようになっていて、マイクロソフトの正規プログラム powershell.exe を介して外部ネットワークに接続を試み、実行ファイル(拡張子 .exe)をダウンロードするようになってました。

イメージ 3
Ursnifウイルスを感染させる攻撃処理

【不正なスクリプトファイル】
MD5 003e9f368bf72eabcd104890762dbfb4
www.virustotal.com/ja/file/f8dccec103257c7bcb065c68937a6ee06e44526e7c8520cac0f348a713213d97/analysis/1507783070/

MD5 eb6765a1b491206d216ad2a8758b0a26
www.virustotal.com/ja/file/64457e743855169bcf847d0ec72c4cad8640100390bf676f5863720e300a0e56/analysis/1507862363/

MD5 90c2bf0ac16be63784d60601b4967a07
www.virustotal.com/ja/file/84cac5241524e358ba2136c29cb45b7289d3021306cd73645453168b60f39b94/analysis/1511929106/

MD5 e76be1b640420cd6dd1fc64f840c87a9
www.virustotal.com/ja/file/043f1b1bbc7b59bd416d4b9eb9c32f154f6f9577688b1dce722b3fb9aea8897b/analysis/1511965974/

【Ursnifウイルス】
MD5 6a13751ba411593f3e9d2cc8833c2429
www.virustotal.com/ja/file/1e513b55e04cda331157e6d6bf155d2158c10cfa0a820d79e790e0cb8e96a613/analysis/1507785661/

MD5 eae86778706b1ca61341b25d04ea8ebf
www.virustotal.com/ja/file/2e530f9942dd97b3e4705152fac00e741896db9b9d4bc93caaa969523f37faf6/analysis/1507863365/

MD5 e05804f44a02214263b741e60417f648
デジタル署名 Brandflow Ltd
www.virustotal.com/ja/file/81d7804950e0515c0777b674b554ebd805342ecf7efd2f4538370b49b5f05dcf/analysis/1511930503/

MD5 51af599c3d55bd7ba5183562f2769a73

なお、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケーは動作環境から外れるので、まったく影響はなく大丈夫です。

効果的なウイルス感染防止方法2つ

怪しいリンクをクリックするな』『不審なファイルを開くな』 というフレーズを見かけるものの、現実ではヒューマンエラーにより.jsファイルをうっかり開くユーザーさんも必ず出現します。

そうなるのを見越して、攻撃を無力化し100%感染失敗となる Windows 向けウイルス対策をやっておくと ウイルスメール攻撃者を出し抜く ことができます。

【1】

攻撃者は スクリプトファイル(拡張子 .js) を開かせようと企んでるので、関連付けの設定を変更してメモ帳など別のプログラムに切り替えておきましょう。 <ほんの数分の作業でスクリプトファイルの攻撃力はゼロに


【2】

Ursnifウイルスのダウンロード処理は powershell.exe が担当してるので、攻撃者に意図せず悪用されるのを防ぐためファイアウォールを使い通信ブロックしておきましょう。 <Windowsファイアウォールでも無料で対応できる

最終更新日: 2017/11/29

この記事に

  • 顔アイコン

    感染した場合はどうやって除去するのでしょうか。実際クリックしてしまったのですが。。

    [ bannbann ]

    2017/10/19(木) 午後 11:21

    返信する
  • 顔アイコン

    具体的な状況が分かりませんが、.jsの拡張子を持つファイルをダブルクリックしたなら、無料ウイルススキャンツールでスキャンしてください

    ・Microsoft Safety Scanner
    ・Kaspersky Virus Removal Tool

    [ Firefly ]

    2017/10/21(土) 午後 7:41

    返信する

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(0)

本文はここまでですこのページの先頭へ
みんなの更新記事