普段からメールをみていると、日本語の迷惑メールも多いのですが、英語のスパムも大量に届きます。
これだけしつこいと引っかかる人がいるのかな?と考えていたんですが、海外のサイトで買い物したり、海外のサイトのサービスを利用している人は間違えて開くかもしれないですよね。
今回は最近大量に届いた迷惑メールの中身が何なのか調べてみました。
1通目 Emailing: Invoice(数字).pdf
まず最初に、件名がEmailing:Invoice(数字).pdfやEmailing:Invoice(数字).docといった、Invoice(請求書)と偽って送ってくるメールです。
本文はなくPDFやWordファイルを添付しているようにみせているマクロウイルスファイルです。
中身は先日紹介したVirus Totalで調べてみました。
検出率が24/55と43%。フリーのウイルス対策ソフト(ClamAV、Avast、Kingsoftなど)では、軒並み検出できていないです。
ウイルスの名前はソフトによって異なりますが、Ad-AwareやGDあたなど複数の対策ソフトで表示されているW97M.Downloader.ECF は実行すると、マルウェアを自動でダウンロードして実行するタイプ。
ダウンロードしてきたマルウェアはユーザーの個人情報を盗むものだったり、スパムを送ってしまうものなどがあるので絶対に実行してはならないです。
W97M.Downloader テクニカルノート | シマンテック 日本
2通目 please sign
次は本文があるメールです。何やら領収書にサインしてくれと言っているようです。
Dear staff
Please sign the receipt attached for the arrival of new office facilities.
Best regards,
Abigail Pennigton
こちらは添付がZipファイルなんですが、検出率が異常に低いのが気になります。
TrendMicro、Symantec、McAfeeと大手3社でも検出していないです。
そんなわけないよな・・・と思い、PCに入っているSophosでチェックしたところ・・・
ちゃんと検出しました。このサイトはどういうルールで掲載しているか、ちょっとわからなくなりました・・・。
添付ファイルの中身はjavascriptのファイルでランサムウェアというやつです。
「ランサムウェア(Ransomware)」とは?
ランサムウェアとは、感染したPCをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求する不正プログラムです。身代金要求型不正プログラムとも呼ばれます。
脅威内容
スパムメールや、改ざんした正規サイトから、脆弱性を攻撃する不正サイトへ誘導され、ランサムウェアに感染 ランサムウェアが活動開始すると、感染PCの特定機能を無効化し操作不能にする、もしくは、データファイルを暗号化し利用不能にする、などの活動が行われる PCを感染前の状態に戻すことと引き換えに金銭の支払いを要求する画面が表示される
引用:ランサムウェアとは - 脅威と対策 | トレンドマイクロ
ランサムウェアに感染するとPCを操作できなくなったり、戻すために身代金を要求されたりと良いことはないです。
このタイプはPCだけではなく、Androidのスマホにも感染する場合があるので注意の必要があります。
また、感染経路はメールだけではなく、ネットで感染サイトにアクセスすることで感染する場合があるようです。ウイルス対策ソフトは必須になりますね。
くれぐれも怪しいメールは開かない、怪しいサイトには近づかないようにしてください。