最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆マイクロソフト装うフィッシングが再襲来――「偽メール、偽サイト」の見分け方(2018/03/22) | メイン | ◆自宅Wi-Fiで知らぬ間に「DNS情報」書き換えられ、不正アプリDLの恐れ(2018/03/27) »

2018/03/23

◆楽天市場など装い偽サイトに誘導する「ダウンロード型マルウェアメール」に注意(2018/03/23)

 21日にばらまかれた実在する企業を装うフィッシングメールに続き、22日夕方から実在する企業を装うマルウェアメールがばらまかれた。名前をかたられた楽天や、日本犯罪対策センター(JC3)などが、不審なメールに注意するよう呼びかけている。

■楽天市場を装うマルウェアメール

 楽天を装いマルウェア(ウイルス)に感染させようとするメールは、昨年10月から楽天カードや楽天銀行を名乗るものが断続的に観測されていたが、楽天市場を名乗るのは今回が初めて。3週間ぶりの楽天を装うダウンロード型マルウェアメールは、メールのリンクをクリックすると、いきなりファイルのダウンロードが始まったこれまでの手口から、本物そっくりの偽サイトへと誘導する手口に変わっている。

 22日にばらまかれたのは、楽天市場内の実在するショップの注文確認メールを装ったもの。「【楽天市場】注文内容ご確認(自動配信メール)」という本物の確認メールと同じ件名で送られており、差出人が「楽天市場」という名前と公式のメールアドレスに偽装されていた。偽物には見えないメールだが、注文した覚えはない。思わす購入履歴や問合せ先をクリックしようとすると、そこに公式サイトとは無関係な偽サイトのURLが埋め込まれており、楽天市場の偽のログインページへと誘導される。この偽のログインページは、本物と寸分違わぬ完全なコピーだが、アドレスバーには暗号化通信であることを示す錠前マークがなく、公式サイト(rakuten.co.jp)とは無関係な見知らぬURLが表示されているので、簡単に偽物だと見抜ける。

 アドレスバーを確認しないでうっかりログインしてしまうと、画面に「あなたのアカウントに異常な動きが検知されました。 セキュリティのため、アカウントをロックしましたので、詳細情報をクリックしてアカウントを確認してください。」と表示される。指示に従って「詳細情報」をクリックすると、「もっと詳しくの情報はこちら.zip」というファイルのダウンロードが始まるという、以前よりも凝った仕掛けになっている。ちなみにこの偽のログインページは、入力したアカウント情報の正当性はおろか、入力の有無すら確認していない手抜き仕様だった。

 ダウンロードされる「もっと詳しくの情報はこちら.zip」は、Windows上で「圧縮フォルダ形式」と呼ばれているもので、中に「もっと詳しくの情報はこちら.PDF.js」というファイルが入っている。拡張子「.js」のファイルは、Windows上で実行可能なJavaScriptファイルと呼ばれるもので、これを開いて実行してしまうと、外部からマルウェア本体をダウンロードし、Windowsに感染させてしまう。感染するマルウェアは、オンラインバンキングの不正送金被害などに繋がる、悪質なマルウェアと見られる。

 ちなみに「もっと詳しくの情報はこちら.PDF.js」は、「.PDF.js」という二重拡張子になっているので注意したい。拡張子を表示しない設定の場合には「もっと詳しくの情報はこちら.PDF」に見え、ドキュメントの配布によく使われる、PDFファイルと勘違いして開いてしまうかも知れない。

■楽天カードを装うフィッシングメールにも注意

 楽天関連では、同じ22日に楽天カードを装う「【楽●天】緊急!パスワード初期化のご連絡」という件名のフィッシングメールもばらまかれているので、その情報も付け加えておく。

 メールの内容は、第三者に不正ログインされた可能性があり、パスワードをリセットしたので再設定するよう促すもの。誘導先は「rakuten-mycards」というそれらしいドメインを使用した、楽天e-NAVIのログインページそっくりの偽サイトで、ログインすると「楽天e-NAVIサービスセキュリティ強化手続き」と称してカード番号、有効期限、カード裏面の3桁の数字(セキュリティコード)、生年月日、自宅電話番号を入力させようとする。

 攻撃を仕掛けているのは、以前、宅配便の不在通知を装うSMSなどで誘導し、怪しいAndroidアプリをインストールさせる攻撃を仕掛けていたグループである可能性が高い。先月話題になった全国銀行協会の偽サイトをはじめ、NTTドコモの「dアカウント」やソフトバンクの「My SoftBank」、三菱UFJニコス、三井住友カード、といった一連のフィッシングも、同じグループが絡んでいると見られる。

(2018/03/23 ネットセキュリティニュース)

【関連URL】
・インターネットバンキングマルウェアに感染させるウイルスメールに注意(JC3)
https://www.jc3.or.jp/topics/virusmail.html
・【注意】楽天市場を装った不審なメールにご注意ください(注文内容ご確認メール)(2018年3月22日)(楽天市場)
https://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/44204
・クレールオンラインショップの名を騙る偽サイトにご注意下さい。(クレールオンラインショップ)
https://item.rakuten.co.jp/creer/c/0000002819/

投稿情報: 11:23 |

|