文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    郵政偽メールはネット銀行ウイルスだった

     日本郵政の名前で、不在通知の偽メールが出回っている。添付されていたファイルは、ネットバンキング不正送金を行うウイルスだと判明した。添付ファイルを開くと、ネットバンキングの現金を勝手に送金される可能性がある。(ITジャーナリスト・三上洋)

    添付ファイルを開くと不正送金ウイルスに感染

    • 日本郵政を騙った偽メール(トレンドマイクロによる)
      日本郵政を騙った偽メール(トレンドマイクロによる)

     日本郵政の名前を(かた)った偽メールが、大量に出回っている。先週の記事「日本郵政の偽メール急増…連日400件以上報告:サイバー護身術」でまとめた通り、2月15日頃から小包の不在通知を騙ったメールが増え、日本郵政・日本郵便あてに1日400件以上の問い合わせが来ている。

     この偽メールには添付ファイルが付いているものがあり、ウイルスではないかと疑われていた。セキュリティー対策会社の調査で「ネットバンキング不正送金ウイルス」であることが判明した。

     画像はトレンドマイクロが自社ブログで紹介したもので、日本郵政を騙った偽メールだ。圧縮ファイル(ZIP形式)が添付されており、展開すると「郵便局_日本郵政_お問い合わせ番号_###########から100通_FDP.SCR」(「#」は数字)のようなファイルが現れる。このファイルはWindowsのスクリーンセーバーの実行ファイルだが、実際にはウイルスの実行ファイル(正確にはウイルスなどをダウンロードさせるプログラム)である。

     トレンドマイクロによれば、最終的に「ROVNIX(ロヴニクス)」と呼ばれるウイルスに感染する。この「ROVNIX」は国内ネットバンキングを狙うオンライン銀行詐欺ツールだ。普段は何もしないが、正規のネットバンキングサイトを表示すると、一部を書き換えたり振込先を勝手に変更したりといった悪さをする。被害者のネットバンキング口座から現金を盗み取るのが目的だ。

     トレンドマイクロの分析では、今回確認された「ROVNIX」は、日本の都市銀行・地方銀行・信用金庫・共同化システムなど30のネットバンキングサイトを標的としているとのことだ。2月14~18日の間にこの偽メールに関連したウイルスを、国内で2800件以上検出している(トレンドマイクロ利用者の集計データ)。トレンドマイクロ利用者だけでこの数字だから、実際にはさらに感染者は多いと思われる。

    ファイル名偽装…「RLO」を使ってだますテクニックを利用

    • 楽天を騙った偽メール。巧妙なファイル偽装が行われていた(シマンテックによる)
      楽天を騙った偽メール。巧妙なファイル偽装が行われていた(シマンテックによる)

     シマンテックも同様のメールを分析している。こちらは楽天を装ったメールだが、(つづ)りが「Racuten」とミスっている。しかも楽天の不在通知を装っているが「最寄りのRACUTEN.CO.JP取り扱い郵便局」なるものへ問い合わせろと書いている。「楽天取り扱い郵便局」という呼び方はないから、日本の事情がよくわかっていない犯人が作っているものだと思われる。

     特徴的なのは添付ファイルだ。ZIP形式の圧縮ファイルが添付されているが、展開すると「.PDF」という拡張子に見えるファイルが出てくる。拡張子とはファイルの末尾につけられる文字で、ファイルの種類を示すもの。「.PDF」ならばPDF形式の文書ファイルに見える。

     しかしながら、これは「RLO(Right-to-Left Override)」と呼ばれる偽装だ。アラビア語など右から左に読むための制御文字を入れることで、拡張子を偽装する方法だ。RLO偽装によってPDF文書に見せているが、実際は実行形式のファイル(.SCR スクリーンセーバー形式)であり、ウイルスに感染させる。

     ウイルスは上記と同じ「ROVNIX(シマンテックではTrojan.Cidoxと表記)」であり、日本の銀行を標的にするネットバンキング不正送金ウイルスだ。シマンテックによれば、亜種である「Trojan.Cidox.E」に感染させるが、このウイルスが盛んに活動しているのは日本だけとのこと。犯人は主に日本のユーザーだけを狙っていることになる。

     シマンテックでは「日本がこのように特定地域を狙うスパム活動の対象になることは、これまではまれだったが、最近は日本のユーザーがローカライズされたメールの標的になることも増えている。特定の国に的を絞ったソーシャルエンジニアリングの手口を用いることで、このスパムに誘導されてメールを開封し、マルウェアを実行してしまうユーザーは増えるかもしれない」と分析している。

    対策はメールを信用しない…Macでもウイルス対策ソフトを必ず導入

     日本郵政・日本郵便だけでなく、ヤマト運輸などの宅配便、楽天やAmazonなどの通販サービスを騙った偽メールも出回っている。ウイルス感染させてネットバンキングからお金を盗み取られたり、不正サイトへ誘導してウイルス感染してしまったりといった被害が出る。偽メールにだまされないための対策をまとめておこう。

    ●郵便・宅配便・ネット通販の偽メール対策

    1:メールのリンク・添付ファイルは開かない

     本物か偽物かを判別するのは一般ユーザーには難しい。そこで郵便・宅配便・ネット通販のメールでは「リンクはクリックしない」「添付ファイルは開かない」を原則に。たとえ本物であっても信用せずに、クリックしない、開かないこと。

    2:必要な場合は公式サイトにアクセスして確かめる

     郵便・宅配便・ネット通販の通知メールが来たら、リンクや添付ファイルは開かず、検索などで公式サイトに行った上でログインして確かめる。自分の手でアクセスすること。

    3:ウイルス対策ソフトを必ず導入。Macでも必須

     ウイルス対策ソフトを入れること、JavaやFlashなどのソフトを常に最新版にする(自動更新設定にする)ことが不可欠。Macであっても、ウイルス対策ソフトを必ず導入しよう。

     最近ではネットバンキング不正送金ウイルスによって、一つの会社の口座から9100万円もの現金が盗み出された事件が発生している(読売新聞2月26日報道)。個人ユーザーでの被害も増えているので警戒してほしい。

    ★参考記事

    日本郵政の偽メール急増…連日400件以上報告:サイバー護身術

    狙いは国内ネットバンキング、日本郵政を騙るマルウェアスパムが拡散:トレンドマイクロ

    特定の地域を狙う悪質なスパム活動、日本も標的に:シマンテック

    2016年02月26日 17時13分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす筆力には定評がある。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP