ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ

書庫全体表示

最終更新日: 2018/04/25

楽天市場注文内容ご確認自動配信メールはウイルス 対策2つで感染防ぐ?

イメージ 1
Image いらすとや

詐欺メールが超巧妙すぎ!

ショッピングモール 楽天市場 内に実在する通販ストアを勝手に名乗った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

イメージ 2
楽天市場「注文内容ご確認」装う詐欺メール実例
件名 【楽天市場】注文内容ご確認(自動配信メール)
送信者 楽天市場 <order@rakuten.co.jp>
環境 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:45.0) Gecko/20100101 Thunderbird/45.2.0

ご注文ありがとうございます
Rakuten
楽天カード入会で5,000ポイント
買い物かご 購入履歴 ヘルプ
この度は楽天市場内のショップ「クレールオンラインショップ」をご利用いただきまして、誠にありがとうございます。
本メールは、お客様のご注文情報を受け付けた時点で送信される自動配信メールです。
ショップからの確認の連絡、または商品の発送をもってご購入についての契約が成立します。(in English) 無題な濃いログ
ご注文内容
{注文番号 231963-20180106-00134809{注文番号 [数字]-20180416-[数字]{注文番号 [数字]-20180423-[数字]
{注文日時 2018-01-06 16:22:30{注文日時 2018-04-11 14:22:30{注文日時 2018-04-18 [数字]:[数字]:[数字]{注文日時 2018-04-19 [数字]:[数字]:[数字]{注文日時 2018-04-23 [数字]:[数字]:[数字]{注文日時 2018-04-24 [数字]:[数字]:[数字]
お問い合わせ先
クレールオンラインショップ
052-693-[数字]
問い合わせフォームから連絡
※下記内容については、上記の問い合わせ先より直接ショップにお問い合せください。
・商品やお取引に関するご不明点
・ご注文内容の変更(商品、決済・配送方法など)
・ご注文のキャンセル手続き
※ショップの情報・返品ポリシー・営業時間はこちら
※その他ご不明点がある場合は楽天市場のヘルプページをご確認ください。
2DINオーディオ/ナビ取付キット NK-H670DE ホンダ JF3 / JF4 N-BOX(H29/8〜現在) オーディオレス
ROOMに投稿する
5,670円 x 1個 = 5,670円 (税込、送料無料)
小計  5,670円
送料  0円
合計 5,670円
※送料等の諸費用は変わる場合があります
{今回のお買い物で、56ポイントを獲得しました{今回のお買い物で、388ポイントを獲得しました
・スーパーポイントアッププログラムに関するご注意 詳細について
 - 月間獲得ポイントの上限に達している場合は、実際に獲得するポイントが表示と異なる場合がございます。無題な濃いログ
 - スーパーポイントアッププログラム分の特典は、後日付与されます。特典により付与日が異なります。
詳細
送付先 〒871-0022 大分県中津市相原3553-[数字] 0979-22-[数字]
支払方法 クレジットカード決済  一括払い
配送方法 宅配便
配送日時指定 翌日配達「あす楽」を希望
備考 領収書をご希望のお客様は下記に「領収書」とご記載ください。
注文情報の詳細を確認する
ショップのメルマガに申し込む
お気に入りショップに登録
ご注意事項
・離島・一部地域では別途送料が必要な場合があります。
・消費税について
消費税率 8%
 消費税計算順序 1商品毎に消費税計算
 1円未満消費税端数 切り捨て
・お客様のお取引先は「クレールオンラインショップ」となりますので、ご不明な点、ご注文内容に誤りがある場合は、
直接ショップまでお問い合わせください。無題な濃いログ
・後日計算の送料等により、「全てのポイントを使う」を選択の場合でもお支払いの差額が生じる場合が
あります。
・楽天会員を利用したご注文の場合、キャンペーン特典ポイントが本メール記載の獲得ポイントとは別に計算、
付与される場合があります。ポイント利用・獲得履歴はこちら
 ・楽天市場ご利用上のご注意はこちら
・個人情報の取り扱いについては個人情報保護方針をご覧ください。
・よくある質問はこちら
・こちらの注文に覚えがない場合は、他の方が誤ってあなたのメールアドレスで注文した可能性があります。無題な濃いログ
その場合は、大変お手数ですが、上記ショップならびに楽天市場までお知らせください。
(English)Thank you for shopping at Rakuten. This e-mail is automatically generated in response to your order.
Please note that your order is not complete until confirmed by the seller.
To modify your order (item, payment, delivery, etc.), please contact the seller directly.
As this is an automated e-mail, please do not respond directly to this address.
Click here for Frequently Asked Questions.
楽天市場
発行元:楽天株式会社
詐欺メールは Rakuten のロゴマークを悪用して表示したり、日本語の文章の不自然さも見られず、パッと見の判断で怪しいところに気づない完成度の高さです。

ただ、メール本文中に20ヶ所ほどの不正なリンクが用意されてあります。

まったく見の覚えのない商品を購入した 「【楽天市場】注文内容ご確認(自動配信メール)」 でユーザーを動揺させて、このリンクをうっかりポチッとクリックしてもらうのが詐欺メールを仕掛けた攻撃者の最初の狙いです。

迷惑メールで騙られてるストア名の例
  • 楽天市場
  • クレールオンラインショップ
  • ぎおん (株)ヤサカ電気
  • TRYX3(トライスリー)楽天市場店
  • デンキヤ2ンラインショップ
  • ウルトラぎおん楽天市場店
  • マサニ電気株式会社 楽天市場店
  • Akindoオンラインショップ
  • 株式会社MOA
  • Ease Space-イーズスペース-
  • 〜FireflyFarmer
メール内に登場する楽天株式会社や楽天市場のストア名は、あくまで名前を騙られた成りすまし被害者にすぎないので誤解されませぬよう。

イメージ 8
Yahoo!知恵袋より偽メールに気づかないユーザー
成りすまされたところは可哀想すぎる…

誘導先は楽天フィッシングサイト?

楽天市場に偽装した詐欺メールから誘導先はどうなってる?

手元で実際にリンクを踏んでアクセスしてみると、次のように楽天市場のログイン画面に外観デザインが完璧に偽装されてる不正なページでした。

イメージ 3
「【楽天】ログイン」

ここには楽天会員ログインとして、ユーザーIDとパスワードの入力欄が用意されてあり、送信したアカウント情報を悪意のある第三者が盗む フィッシングサイト と分かります。

ブラウザのアドレスバーを見ることで、このフィッシングサイトの URL が正規の楽天市場 rakuten.ne.jp ではないことが明らかです。

ただ、メールの内容を真に受けて焦ってるユーザーさんは、もはや周りが見えなくなってるはずで異変に気づけないパターンです。

真の狙いはファイルのダウンロード

テキト〜にデタラメ情報(実際には何も入力せず空っぽでも先へ進める)を入力して [ログイン] ボタンをポチッと押すと?

画面左側のところに変化があり、そこには 「あなたのアカウントに異常な動きが検知〜」 なる案内が表示されました。

イメージ 4
「【楽天】ログイン」

あなたのアカウントに異常な動きが検知されました。 セキュリティのため、アカウントをロックしましたので、詳細情報をクリックしてアカウントを確認してください。無題な濃いログ [詳細情報]

ここで誘導されるように [詳細情報] ボタンをポチッと押すと、zip形式の圧縮アーカイブ 「もっと詳しくの情報はこちら.zip」 なるファイルをダウンロードするよう促されました。

イメージ 5
ファイルのダウンロード通知

手動でダウンロードしてきたこの圧縮ファイルを解凍・展開すると、中身はこんな感じで Windows の スクリプトファイル(拡張子 .js) が1つ入ってるのでした。

イメージ 6
ダウンロードしたファイルの中身
もっと詳しくの情報はこちら.PDF.js

詐欺メールの内容にいちおう合わせて、ユーザーにPDF文書と誤認させようとしてることが分かる 二重拡張子「〜.PDF.js」 が施されてます。

なお、このファイルの動作環境は Windows のみで、それ以外の環境 Mac OS X、Androidスマホ、iPhone/iPad、ガラケー らへんは影響せず大丈夫です。

ネットバンキングウイルスに感染

この.jsファイルを Windows パソコン上でポチポチッとダブルクリックして起動すると攻撃処理の発動です。

手元で実際に.jsファイルを開いた直後の Windows のプロセスの様子がコチラ♪

イメージ 7
jsファイルを開いた直後のプロセスの様子

その処理内容は Windows PowerShell(powershell.exe) を介して外部ネットワークに接続を試み、Windows 向け実行ファイル(拡張子 .exe)をダウンロードしてきてシレッと起動してます。

このダウンロードされてきた実行ファイルの正体は Ursnif(読み方 アースニフ、別名 Dreambot) と呼ばれてるマルウェアになります。

この Ursnif ウイルス は、2016年あたりから日本国内でネットバンキング不正送金被害が発生してるとしてニュースで名指しされてるものです。


攻撃の流れのまとめ

一連の攻撃の流れを簡単にまとめると、必ずしも無視できない巧妙な迷惑メールを起点にしてフィッシング詐欺とウイルス配信の2段構えになってます。
【攻撃の流れ パターン1】
 迷惑メール「【楽天市場】注文内容ご確認(自動配信メール)」など
 ↓ 本文中のリンクをクリック
楽天市場の偽ログインページ
 ↓
楽天会員アカウントの送信、ファイルのダウンロード
ファイル「もっと詳しくの情報はこちら.zip」
 ↓ アーカイブを解凍・展開する
ファイル「もっと詳しくの情報はこちら.PDF.js」(qlqfzrwvjxvjx.PDF.js
 ↓ ファイルをダブルクリックして開く
ウイルス感染アウト
また、フィッシング詐欺の場面がなくウイルス感染一本のパターンも投入されてます。
【攻撃の流れ パターン2】
迷惑メール「【楽天市場】注文内容ご確認(自動配信メール)」など
 ↓ 本文中のリンクをクリック
ファイル「もっと詳しくの情報はこちら.zip」
 ↓ アーカイブを解凍・展開する
ファイル「もっと詳しくの情報はこちら.PDF.js」(qlqfzrwvjxvjx.PDF.js
 ↓ ファイルをダブルクリックして開く
ウイルス感染アウト

【攻撃の流れ パターン3】
迷惑メール「【楽天市場】注文内容ご確認(自動配信メール)」など
 ↓ 本文中のリンクをクリック
ファイル「もっと詳しくの情報はこちら.pdf.js」「もっと詳しくの情報はこちら.pdf..js
 ↓ ファイルを開く
ウイルス感染アウト
何だかんだウイルス感染に至るまでには Windows ユーザーが手動で作業をする必要があり、『メールを開くだけでウイルス感染!』『本文中のリンクをクリックしたらウイルス感染!』 みたく即終了となる脅威では決してありません。

イメージ 9
ウイルス感染直前に表示される警告ウィンドウ

感染被害を回避するウイルス対策は?

フィッシングメールとしての対策 (Windows、Mac、スマホ)

フィッシング詐欺の対策は、とにかくメールにいちいち振り回されないことです。

とても簡単で安全な対処方法は、ブラウザから楽天市場の公式サイトに直接アクセスして購入履歴を確認することを徹底しましょう。 <ブラウザのブックマークや検索エンジン経由からでもOK

楽天メールが本物か偽物かいちいち見分ける作業なぞ 時間のムダ です。

ウイルスメールとしての対策 (Windows のみ)

『怪しいメールを開くな』  なんて言われるけど、ウイルスメール攻撃者は必ずしも実現困難にするイヤらしい戦略を投入してます。

ってことで、ネットバンキングウイルス感染は、攻撃者の仕掛ける手口に沿って 100%確実に攻撃失敗となる有効な Windows 向けウイルス対策2つ で最強バッチリです。

【1】 スクリプトファイルを無害化する

ウイルスメール攻撃者は スクリプトファイル(拡張子 .js/.jse/.vbs/.wsf) を開いてもらおうとしてます。

そこで、ファイルの関連付けを変更しておくと不正なスクリプトファイルを使ったウイルス感染手口はサッパリ通用しません。 <Windows の設定を変更するだけなので 無料

【2】 ファイアウォールを活用する

ウイルスメール攻撃者はダウンロード処理に正規プログラム powershell.exewscript.exe を悪用してます。

悪用する理由は、マイクロソフトに由来する正規プログラムであるが故にセキュリティ製品のスリ抜けに都合が良いからです。

そこで、あらかじめファイアウォールで外部通信をブロックしておくと、悪用される場面が発生しても攻撃者の意図した通りにいかずとても安心です。 <標準で実装されてる Windows ファイアウォールでも 無料 で対策できる

セキュリティトピックス

投入されてるスクリプトファイル、感染する Ursnif の実行ファイルの詳細です。

【スクリプトファイル】
1b553dd01aac5a7e53b96052a5bcb18b
www.virustotal.com/ja/file/0542e182667459b2cd637da6906f15d29751f28080d8556c31bc46a23c15ba1b/analysis/1521702178/

6cb2e954864f4b661de5aa07f04b1e80
www.virustotal.com/ja/file/d696653da07d270fa8471eac5e3f2a09a00dc22eb6d090b889aba5fd209900c3/analysis/1523427150/

c532c13dc3c433bb823ba6c67008c220
www.virustotal.com/ja/file/100e92ad6433515f29c12a783fa52c8017e8335aa3cce4f3697f535237e46dd1/analysis/1523543338/

a49d809767d89a971094f6eb9576572a
www.virustotal.com/ja/file/c85ee3804c003889e7e427381f6b6d4ac1a301b3fb63d5bfec3a363a0a42e1e6/analysis/1524119268/

8222ca23421b3318be9b829aac05df27
www.virustotal.com/ja/file/c182dc688a6b836d3fdfa4d590d443351efba1f265519924e959d63da0a6ca7c/analysis/1524207301/

3a72aaba026d02ce7950ba8f1f0ee60b
www.virustotal.com/ja/file/77a23e8d53b10f6f586ad77cb8b4f277e7bd6263f6ed51926f5c6f853c3bc7e2/analysis/1524549863/

572d3c2dc209c79a0827ec64fdb9c483
www.virustotal.com/ja/file/de32d78a9434a694e2a7836523d00682d0e8c3004a46e44ebb32df5cebf11f1b/analysis/1524636497/

ESET PowerShell/TrojanDownloader.Agent JS/TrojanDownloader.Agent
Kaspersky HEUR:Trojan.Script.Agent.gen
Microsoft Trojan:Win32/Vigorf.A TrojanDownloader:JS/Nemucod Trojan:Script/Cloxer.A!cl
Symantec ISB.Downloader!gen48 JS.Downloader
Trend Micro JS_NEMUCOD.ELDSAUXG JS_URSNIF.TIBOAK JS_DLOADR.AUSUIU JS_POWLOAD.ELDSAUIV JS_POWLOAD.ELDSAUIY

【実行ファイル】
ce7654fa57ea626784e0ec47fcb51611
www.virustotal.com/ja/file/7453d3f2d26a0676923b1e48875db426e1b6bb821d66b04c3d22752fdb87a87f/analysis/1521702508/

b3760ba774d36098682cfa3f66fe4c68
www.virustotal.com/ja/file/6f04345d7be6fead1d01b6fed4a0aa8990a4b139a85068a5eb0f349638848cef/analysis/1523428670/

f62fab450795aa6406d6ff3deece5b3b
www.virustotal.com/ja/file/4bc0433608ad7e5eb1d8efd93e12f25a26446ebeed68da7cb4301c7e9395f143/analysis/1523489902/

289fd556f97b8a2cbe66dd7b3a61fec3
www.virustotal.com/ja/file/68b02ba4ed79d5e12e147f66144d4fcbdcc317e05d75a6a11b05e3270a950938/analysis/1523544564/

da334d84a8288bc93d5b9f49f7482377
www.virustotal.com/ja/file/1d72853f609faac25623dec01b1e66dbb6f281147cc0e757e387bb9df3251c49/analysis/1524119386/

c942cf5d8eedf1848d0bedf331992728
www.virustotal.com/ja/file/1d78d54fabb98eefe957f97d16e33239fdc65f3db14a4c545bc10219db56bb89/analysis/1524206383/

95ccc45dffe1645be66165deb30ba2c4
www.virustotal.com/ja/file/d4bd7742f2479f1ee456db9ece8f617149fdc46ef6bf5245d3be3b9ebbd3923f/analysis/1524550754/

6e73af1ec48ae914337d997c75c62a16
www.virustotal.com/ja/file/ed5916e06a8db3b644412ac816417e2be3757a340456247e96cc55b155e390b3/analysis/1524637208/

ESET Win32/GenKryptik Win32/Kryptik Win32/Spy.Ursnif
Kaspersky UDS:DangerousObject.Multi.Generic Trojan-Spy.Win32.Ursnif
Microsoft Trojan:Win32/Ursnif
Symantec Trojan Horse Trojan.Gen.2
Trend Micro TSPY_URSNIF.TIBAIAZ TSPY_URSNIF.TIBAIBP TSPY_URSNIF.TIBAIBR TSPY_URSNIF.TIBAIBU TSPY_URSNIF.TIBAIBW

関連するブログ記事

この記事に

  • 顔アイコン

    同様のメールが届いたので大変役に立ちました。
    簡単な確認で参考になればよいのですが、
    ー動送信メールにもかかわらずメールの送信日時と購入日時のタイムラグが大きいこと。
    楽天のログインアラートの知らせが無いこと。
    メールの文面に本人宛の名前、商品配送先に名前が無いこと。
    す愼履歴の確認(偽ページ有。ショップ名と商品を確認)
    以上、の点で私自身は詐欺メールと判断しました。

    [ hdk0124 ]

    2018/4/21(土) 午前 10:03

    返信する

顔アイコン

顔アイコン・表示画像の選択

絵文字
×
  • オリジナル
  • SoftBank1
  • SoftBank2
  • SoftBank3
  • SoftBank4
  • docomo1
  • docomo2
  • au1
  • au2
  • au3
  • au4
  • 名前
  • パスワード
  • ブログ

開くトラックバック(0)

本文はここまでですこのページの先頭へ
みんなの更新記事