ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ

書庫全体表示

三井住友銀行ValueDoor電子認証設定迷惑メールでウイルス感染 対策は?

イメージ 3
Image いらすとや

実在する企業や銀行を勝手に名乗った怪しい 迷惑メール(スパムメール) が無差別に配信されてます。
三井住友銀行の法人インターネットバンキングサービス ValueDoor を騙った偽メールがコチラ!
件名 [三井住友銀行] ValueDoor電子認証設定のお願い
送信者 e-biz_info@dn.smbc.co.jp

題名 : [三井住友銀行] ValueDoor電子認証設定のお願い
差出人 :
e-biz_info@dn.smbc[.]co.jp
アドレスブックに登録する
◇─────◇
管理者さまが本メールを受信された場合、
以下の手順でダウンロードIDをご確認いただき、下記対象者さまにお伝えいただくとともに、
本メールを下記対象者さまに転送または、印刷して手交願います。
>詳しくはこちら
◇─────◇
 ┏┯┯┯┯┯┯┯┯┯┯┓
 ┠┏┷┷┷┷┷┷┷┷┷┛
 ┠┨     電子認証の設定期限が迫っております。
 ┠┨ ─────
 ┠┨      電子認証の設定を行ってください。
 ┠┨ ─────
 ┠┨ 設定期限を過ぎますと、申込書もしくは「Web申込」による
 ┠┨ お手続が必要となりますので、お早めに設定してください。
 ┠┗┯┯┯┯┯┯┯┯┯┓
 ┗┷┷┷┷┷┷┷┷┷┷┛
 ┏─────
 │【ValueDoorID】  [数字]
 │【有効期限】    2017年11月27日まで
 ┗─────
 ┏━━━━━━━━━━╋
 ☆ 管理者さまの作業 ☆ 
 ╋━━━━━━━━━━┛
 │<ダウンロードIDを対象者さまへ通知>
 │1.管理専用IDにてログイン
 │2.「利用者IDの管理」>「IDの照会」メニュー
 │  もしくは「管理専用IDの管理」>「IDの照会」メニューをクリック
 │3.ValueDoorID一覧から上記ValueDoorIDの電子認証ダウンロードIDを確認
 │4.対象者さまにダウンロードIDを通知
 │※申込書でお手続きされた場合は、先般、管理者さまあてに郵送いたしました
 │ 『「ValueDoor」契約登録のお知らせ』でもご確認いただけます。
 ┗━━━━━
 ┏━━━━━━━━━━╋
 ☆ 対象者さまの作業 ☆
 ╋━━━━━━━━━━┛
 │<利用する端末に電子認証を設定>
 │1.設定にあたっては、下記URLの「ValueDoorのご利用環境」にて、
 │  ご利用可能な端末かご確認をお願いします。
 │  【ValueDoorのご利用環境はこちら
 │2.電子認証の設定は下記URLの「電子認証の新規設定・更新」の「新規設定」ボタンを
 │  クリックして行います。申込書に記載した初期パスワードと、
 │  管理者より通知されるダウンロードIDを使用して設定してください。
 │  【法人インターネットバンキング ValueDoorログインはこちら
 │3.電子認証の設定方法は、下記URLの「2.電子認証の新規設定・更新」の
 │  「(1)新規設定の操作手順」をご参照ください。
 │  【電子認証設定マニュアルはこちら
 ┗━━━━━
(ご注意)
 ・本メールと行き違いで、すでに電子認証を設定いただいた場合は、何卒ご容赦ください
  ますようお願いします。
 ・電子認証を設定した端末やパスワードは、お客さまを確認させていただくために重要な
  ものです。厳重に管理してください。
 ・本メールアドレスは送信専用です。ご返信・お問合せはお受けしておりません。
 ・金融機関等を装う電子メールにご注意ください。
  「三井住友銀行」名でお送りするメールには、携帯電話向けを除いてすべて電子署名を
  付けています。電子署名の確認方法等、メールのセキュリティについては、当行の
  ホームページをご覧ください。
2017/10/20
三井住友銀行
━━━━━
□三井住友銀行のValueDoor電子認証センター□
 電話番号 0120−115−[数字]
 受付時間 9:00〜19:00(銀行休業日を除く、月〜金曜日)
━━━━━
機械翻訳による不自然な表現もなく完成度の高い日本語の文章で書かれていて、企業から送信されてきても違和感のない凝ったテキスト装飾も使われてたりイヤらしいーです。

スクリプトファイルを開かせる手口

メールに添付ファイルはなく、本文中に登場する 「こちら」「ログイン」 リンク5ヶ所をユーザーにポチッとクリックさせようとしてます。

仮にリンクをクリックすると、三井住友銀行を装った詐欺サイトが表示されることはなく、zip形式の圧縮アーカイブのダウンロードを促されます。

イメージ 1
「セキュリティ情報.zip」

このzip圧縮ファイルの中身は下のような Windows の スクリプトファイル(拡張子 .js) となってて、ユーザーにPDF文書と誤認させようと二重拡張子になってることも分かります。 ファイルの種類に注意を払おう対策

イメージ 2
解凍すると「セキュリティ情報.PDF.js
(vhlqgxvj.PDF.js

この.jsファイルをWindowsパソコン上でポチポチッとダブルクリックすると、外部ネットワークから Ursnifウイルス をダウンロードしてきてシレッと感染する攻撃処理の発動です。 <ネットバンキング不正送金被害で暗躍するマルウェア!

イメージ 4
スクリプトファイルを開いた直後のプロセスの様子

【不正なスクリプトファイル】
5c91985d837bda1f85383deb052d844e
www.virustotal.com/ja/file/a076fbb3aae4d57ed9b4768152285430c7387e4f8ad99920f5ac3873ffb53063/analysis/1511173134/

【Ursnifウイルス】
997fe4183c929eb89c41b02ac8fbf2e1
www.virustotal.com/ja/file/9e1b6ba8e026f46b9f092a907589a5feebccc9d03f263711e71e093f9ca9cd38/analysis/1511243260/

なお、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境はファイルの動作環境でもなく攻撃対象外となり大丈夫です。

強力なウイルス対策で感染防ぐ

「不審なメールを開くな」「怪しいリンクをクリックするな」 とは言うものの、それができないユーザーさんも一定数いるはずで、どんだけヒューマンエラーを起こしても100%確実に感染しない Windows 向けウイルス対策を紹介します。

【1】

メール攻撃者は スクリプトファイル(拡張子 .js) を開いてもらうのを狙ってるので、あらかじめファイルの関連付けを変更しておくと不正なスクリプトファイルを使った攻撃は通用しません。 <Windows の設定を変えるだけ

【2】

メール攻撃者はマルウェアのダウンロード処理に正規プログラム PowerShell(powershell.exe) を悪用してるので、あらかじめファイアウォールで通信ブロックに登録しておくと攻撃は通用しません。 <標準で実装されてる Windows ファイアウォールでも対策できる

この記事に

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(1)

本文はここまでですこのページの先頭へ
みんなの更新記事