手口を知って備えよう!
三上洋のネットトラブル対策講座宅配便や振込通知に偽装。本物そっくり「ウイルスメール」にダマされるな!

特集記事

「宅配便のお知らせ」「ホテル予約のご案内」などに偽装した、とても巧妙な騙しメールが出回っています。私たちユーザーを騙し、ウイルスに感染させようとするスパム(迷惑メール)です。新連載「手口を知って備えよう!三上洋のネットトラブル対策講座」の第一回として、ウイルスメールの手口と対策をまとめます。

思わず開いてしまいそうになるヤマト運輸や日本郵政、都市銀行に偽装したウイルスメール

私たち一般ユーザーを狙う、偽装メール(なりすましメール)が増えています。特に最近目立つのは、添付ファイルでウイルスに感染させるもの。以前は偽サイトに誘導するフィッシングメール(なりすましで騙すメール)が多かったのですが、2015年後半からは添付ファイルでウイルスに感染させる手口が目立っています。

特徴は「なんだろう?添付ファイルを開けてみよう」と思わせる巧妙な偽装をしてくること。たとえばヤマト運輸の宅急便の配達メール、航空券のチケット、銀行の振込通知など、私たちがよく利用するサービスに偽装しています。しかも文面は本物そっくりであり、騙されても不思議ではないほど巧妙です。

どんな偽装メールが届くのか、実際のサンプルを見てみましょう。

【ウイルス例1】ヤマト運輸・宅急便の配達通知メール。ネットバンキング不正送金ウイルス添付

【ウイルス例1】ヤマト運輸・宅急便の配達通知メール。ネットバンキング不正送金ウイルス添付 画像
ヤマト運輸の宅急便配達通知に偽装したウイルスメール。送信元もヤマト運輸の正規アドレスに偽装していた
バンキングトロージャン「Bebloh」感染狙う日本語スパムメールを相次いで確認:ESETマルウェア情報局

「宅急便お届けのお知らせ」というタイトルで届く、ヤマト運輸宅急便の偽メールです。2016年6月下旬に大量に出回りました。

 

お届け予定日時や伝票番号が書いてあり、実際の宅急便の配達通知メールそっくりの文面です。これでは騙されても不思議はないですね。しかもメール送信元は「kuronekoyamato.co.jp」とヤマト運輸の正規のメールアドレスを偽装していました(実際には偽装であり、国内プロバイダのアドレス経由で中国のIPアドレスから送信されたもの)。

 

添付ファイルはZIP形式の圧縮ファイルで、中には偽装されたウイルスの実行ファイルが入っていました。セキュリティ会社の調査により、ネットバンキングのパスワードを盗み取るウイルスであることが判明しています。

【ウイルス例2】三井住友銀行の振込受付完了メール。送信元も正規アドレス

【ウイルス例2】三井住友銀行の振込受付完了メール。送信元も正規アドレス 画像
三井住友銀行に偽装したウイルスメール。振込受付完了のメールで、正規アドレスに偽装していた
マルウェアが添付された三井住友銀行をかたるメールにご注意ください:ESETプレスリリース

「振込受付完了のお知らせ」とのタイトルで届く、三井住友銀行に偽装したメールです。2016年7月上旬に出回り、三菱東京UFJ銀行など他の銀行の名前を騙ったものも発見されています。

 本物の振込受付完了メールとまったく同じ文面であり、しかも送信元も三井住友銀行の正規アドレスに偽装していました。文面やメールアドレスからは、ニセモノだと判別できない巧妙なものです。

 添付ファイルは上のヤマト運輸の偽メールと同じで、ネットバンキングのパスワードを盗み取るウイルスでした。

【ウイルス例3】郵便局からのメールに装うもの。ショッピングサイトの場合も

【ウイルス例3】郵便局からのメールに装うもの。ショッピングサイトの場合も 画像
日本郵政に偽装したウイルスメール。郵便局を偽装しており、添付ファイルでネットバンキング不正送金ウイルスに感染させる
狙いは国内ネットバンキング、日本郵政を騙るマルウェアスパムが拡散:トレンドマイクロセキュリティブログ

「小包の配達」というタイトルで、郵便・ゆうパックの不在通知に偽装したメールです。2016年2月中旬に大量に出回ったほか、2015年12月にもみつかっています。

ただし郵便には不在通知を知らせるサービスは存在していません。また発信元が「日本郵政」となっていますが、日本郵政は親会社であり、本来なら「日本郵便」が正規なものです。犯人は日本の事情をよく知らずに、詐欺メールを作成しているようです。送信元はロシアのメールアドレスになっていました。

添付ファイルはZIP形式で、中には「.scr」という拡張子のスクリーンセーバー形式のファイルが入っていました。スクリーンセーバーのファイルは、実行プログラムの1つであり、ウイルス感染させることに利用されています。

【ウイルス例4】ホテルの宿泊予約確認メール。旅行会社のメールにそっくり

【ウイルス例4】ホテルの宿泊予約確認メール。旅行会社のメールにそっくり 画像
旅行会社からのメールに偽装した宿泊予約確認メール。ホテルの予約をよくする人は騙されてしまいそうだ

「宿泊予約ご本人確認手続き(自動配信メール)」というタイトルで、旅行会社からの確認メールを装った偽メールです。2016年7月上旬にみつかっているほか、同種のフィッシングメール(偽サイトへ誘導するURLが書かれたもの)は以前からあります。

 

実在する旅行会社の宿泊予約確認メールとまったく同じものであり、そのままコピー&ペースで作っているのでしょう。送信元は日本国内のプロバイダのメールが送信元になっていました。

 

添付ファイルはZIP形式で、内容はわかっていませんが、ウイルスに感染させるファイルである可能性が高くなっています。