文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    ヤマト宅急便の偽メールは銀行ウイルス…1000件超報告

     ヤマト運輸の宅急便通知メールになりすました偽メールが、6月29日未明から出回っている。ヤマト運輸への問い合わせは1000件に達するなど、大量送信されているようだ。セキュリティー会社の分析によれば、ネットバンキング不正送金ウイルスが添付されていた。(ITジャーナリスト・三上洋)

    6月29日未明から宅急便配達通知の偽メールが出回る

    • 6月29日未明から出回っているヤマト運輸になりすました宅急便配達通知の偽メール
      6月29日未明から出回っているヤマト運輸になりすました宅急便配達通知の偽メール

     6月29日頃から、クロネコヤマトでおなじみのヤマト運輸になりすました偽メールが出回っている。左の画像がそれだ。「宅急便お届けのお知らせ」というタイトルで、お届け予定日時・宅急便の伝票番号などが書かれている。送信元はヤマト運輸のメールアドレスになっており、日本語も自然で信用してしまいそうだ。

     Twitterでも「ヤマト運輸から不審なメールが来た」という声が多数ある。添付ファイルにはZIP形式の圧縮ファイルがあり、後述するがネットバンキングのID・パスワードを盗み取るウイルスであることが判明している。

     ヤマト運輸に話を聞いたところ「6月29日未明頃よりお客様からの問い合わせがあり、現時点(7月1日午後2時)で、1000件以上の問い合わせがある」(ヤマト運輸広報戦略部)とのこと。わずか2日で、1000件以上もの問い合わせがあるということは、かなり大規模な攻撃だと言えそうだ。

     この偽メールについて、セキュリティー対策ソフト「ESET」を販売しているキヤノンITソリューションズが分析記事を出した(バンキングトロージャン「Bebloh」感染狙う日本語スパムメールを相次いで確認)。それによるとネットバンキングのID・パスワードなどのログイン情報を盗み取るウイルス(バンキングトロージャン)だとのことだ。

     キヤノンITソリューションズ・マルウェアラボ推進課の石川堤一氏によると「Twitterでも報告が多数あるほか、私のプライベートのアドレスにも届いていた。かなり広い範囲に偽メールがばらまかれているようだ。添付されているのはZIP形式の圧縮ファイルで、中には二重に拡張子(ファイルの種類を表すもの)がついたファイルが入っている。実際には『.exe』形式の実行ファイルであり、ダブルクリックするとウイルスに感染する。二重の拡張子は、ユーザーを(だま)すための偽装だろう」と分析している。

     ヤマト運輸広報は「弊社からのお届け予定eメールには、添付ファイルはついておりません。添付ファイルは絶対に開かずに削除してください」と呼びかけている(参考:「お届け予定eメール」を装った不審メールにご注意ください:ヤマト運輸)。添付ファイルがある時点で、偽メールだと思ったほうがいいだろう。

    1週間で6種類もの偽メール。ネット銀行ウイルス「Bebloh(ベブロー)」添付

    • 銀行からのメールを装った振込通知の偽メール。6月26日から29日にかけて、このような日本語の偽メールが複数みつかっている
      銀行からのメールを装った振込通知の偽メール。6月26日から29日にかけて、このような日本語の偽メールが複数みつかっている

     偽メールはヤマト運輸を装ったものだけではない。他にも日本語によるウイルス添付メールが、4日間で5種類(ヤマト運輸の偽メールを含めて合計6種類)もみつかっている。キヤノンITソリューションズの記事と電話取材を基にして、今回の偽メールの特徴をまとめる。

    ●6種類もの日本語偽メールが4日間で登場

    ・「出金取引をお知らせします」として契約者貸付の内容を知らせるもの

    ・「ご確認」として管理費の金額を確認するもの

    ・「保安検査」として添付ファイルを開かせるもの

    ・「(銀行)お振込受付のお知らせ」として銀行を装うもの

    ・「駐車 支払の件」として駐車場料金を請求するもの。日本語が不自然

     ヤマト運輸の偽メールに加えて、これらのメールが6月26日から29日までの4日間でみつかっている。石川氏によれば「これほど大量の日本語偽メールが一気に出回ったのは初めてではないか」とのことだ。

    ●いずれもネットバンキング不正送金ウイルス「Bebloh」添付

     いずれのメールも、ネットバンキング(オンラインバンキング)のID・パスワードなどを盗み取るウイルス「Bebloh」に感染させるものだった。この「Bebloh」に感染させる日本語偽メールは、6月中旬から大量にみつかっている。石川氏によれば「特に6月中旬に『【要連絡】修繕依頼』というタイトルのメールが出回り、感染数が非常に多かった。その週の日本でのマルウェア検知数の半分以上(51.68%)を、この『Bebloh)』が占めるほどの流行だった」としている(参考記事:バンキングトロージャン「Bebloh」感染を狙った日本への攻撃が急増:キヤノンITソリューションズ)。

    • ヤマト運輸の偽メールに添付されていたウイルス「Bebloh」の検知数。6月中旬に大量に検出されている(ウイルス対策ソフト・ESETのユーザーにおける日本国内検出数)
      ヤマト運輸の偽メールに添付されていたウイルス「Bebloh」の検知数。6月中旬に大量に検出されている(ウイルス対策ソフト・ESETのユーザーにおける日本国内検出数)

    ●本文の特徴:日本語が自然なものに。短くシンプルなメールで騙す

     今までのウイルス添付偽メールと比べて、日本語が自然になってきている。ヤマト運輸偽メールでも不自然なところは少なく、騙される人もいるだろう。また、石川氏によれば「本文が短くシンプルなものが目立つ。『添付ファイルを確認してください』とだけ書くことで、受信した人に『なんだろう』と思わせて添付ファイルを開かせる作戦かもしれない」という。ただし一部のメールは相変わらず日本語が不自然であり、日本語ができない人が書いていると思われるものもある。

    ●メールアドレスが「kuronekoyamato.co.jp」という正規のものだが偽装

     メールの差出人には「@kuronekoyamato.co.jp」という正規のアドレスが使われており、明らかな偽装・なりすましだ。石川氏は「企業などセキュリティー対策を施しているメールサーバーでは、アドレス偽装メールをスパム(迷惑メール)として判定する。しかし個人が利用しているプロバイダーなどのメールでは、そのまま受信してしまうことがある。Twitterなどで個人からの報告が多いのは、これが理由かもしれない」としている。

    ●メールは国内大手プロバイダーからで、中国のIPアドレスで送信か

     アドレスを偽装していても、メールの詳細な情報が書かれたメールヘッダーを見れば、どこから送信されているかはわかる。石川氏によれば「ヘッダーを見ると、日本国内の大手プロバイダー(複数)から送信されている。送信している端末のドメインは中国のIPアドレスだった」とのこと。いわゆる「ボットネットワーク」と言われる、国内でウイルスに感染しているパソコンを踏み台にしている手法が取られている可能性も考えられる。

    ●2月の日本郵政偽メールとの共通点は特に見当たらない

     この手の配達通知を装った偽メールでは、2016年2月に出回った日本郵政の偽メールが記憶に新しい(参考記事:郵政偽メールはネット銀行ウイルスだった:サイバー護身術)。共通点があるか石川氏に聞いたところ「現時点では共通点は見当たらない。ウイルスも異なるものであり、同一グループなのか違うグループなのかは判断できない。いずれにしても日本人を狙ったウイルス感染メールが大量に出回っていることは確かであり、今後さらに増える可能性がある」としている。

    添付ファイルは絶対に開かない。URLクリックも慎重に

    • 注意を怠ると、ウイルスに感染してしまう(写真はイメージ)
      注意を怠ると、ウイルスに感染してしまう(写真はイメージ)

     このように自然な日本語で騙すウイルス感染メールが出回っている。宅急便通知メールだけでなく、様々な文面で添付ファイルを開かせようとするメールがあるので注意が必要だ。対策のポイントをまとめておく。

    ・対策1:メールの添付ファイルは開かない

     郵便、宅配便、ショッピングサイトの通知などのメールでは、添付ファイルは絶対に開かないこと。本物かどうか判断するのが難しいので「通知メール添付ファイルは開かない」ことを原則に。どうしても必要な場合は、該当サービスのウェブサイトのURLを自分で調べてログインして確認すること。

    ・対策2:URLアドレスも原則としてクリックしない

     同様のメールで、添付ファイルがなくURLアドレスのリンクで誘導するものがある。これも偽である可能性があるので、メールのリンクはクリックしないことを原則にする。必要な場合のみ、該当サービスのウェブサイトのURLを自分で調べてログインして確認する。

    ・対策3:ウイルス対策ソフトの契約を更新すること

     ウイルス対策ソフト必ず導入する。体験版ではダメで、必ず契約すること。

     以上のことを改めて確認してほしい。特にネットに慣れていない高齢者や中高生は騙されて開いてしまう可能性があるので、両親や子供にも伝えておきたい。

    参考記事

    日本郵政の偽メール急増…連日400件以上報告:サイバー護身術

    郵政偽メールはネット銀行ウイルスだった:サイバー護身術

    バンキングトロージャン「Bebloh」感染狙う日本語スパムメールを相次いで確認:キヤノンITソリューションズ

    2016年07月01日 18時04分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP