ウイルス付きの注文書


このようなメールが届いた。ひっかけを狙った文章である。

注文書

社内出荷でお願いします 住所は、先日会社宛にメールもらってるのでそちらに記載されていると思いま ← 少々不明の日本語 しかも尻切れ
添付ファイルをご確認ください。 お願いします

添付ファイル: No.20778757063638 [PDF].zip 193 KB
送信者のメールアドレスに覚えがない。まあ、昨今のヌケた会社員なら書きそうな文章でもあるが、メールヘッダを見ると一目でocnを騙ったメールであることがわかる。日本人風の名前に努力の跡がある。

ヘッダーは以下である。
From: <s_matsuoka@yacht.ocn.ne.jp> ← マツオカ@ocnと書いてある
Subject: 注文書
Date: 16/09/27 12:08
To: <officeSales@xxxxxx.co.jp>
X-Account-Key: account5
Message-ID:GT3qwdi_Tu=RrFM9fmVJ4u8P_fCt=zaXcd4KJ@khgnhyjeqy.ubiwkziym.yahoo.co.jp>
X-UIDL: 0000011d4cace8df
X-Mozilla-Status: 0003
X-Mozilla-Status2: 00000000
X-Mozilla-Keys: caution Return-Path:
Received: from Mrk6.FOSTA.local (fm-dyn-139-193-102-190.fast.net.id [139.193.102.190] (may be forged)) ( ←ocnがどこにもない) by mailserver.jp (8.12.5/8.12.5) with ESMTP id u8R384ow006708 for <officeSales@xxxxxx.co.jp>; Tue, 27 Sep 2016 12:08:08 +0900
MIME-Version: 1.0
X-Mailer: CommuniGate Pro
Content-Type: multipart/mixed; boundary="=-mimepart_2068690c12907_8fb3dd454bef40529"

差出人のメールサーバーが怪しい

メールサーバーは確かに存在する。
$ ping yacht.ocn.ne.jp
PING yacht.ocn.ne.jp (180.37.199.43): 56 data bytes
64 bytes from 180.37.199.43: icmp_seq=0 ttl=51 time=15.556 ms ← 応答がある
64 bytes from 180.37.199.43: icmp_seq=1 ttl=51 time=14.878 ms
^C
--- yacht.ocn.ne.jp ping statistics ---
2 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 14.595/15.010/15.556/0.403 ms

だが、送信者のメールサーバーはocnのものとは異なっている。
Received: from Mrk6.FOSTA.local (fm-dyn-139-193-102-190.fast.net.id [139.193.102.190] (may be forged))

メールサーバーはインドネシア

メールが発信された「139.193.102.190」はインドネシアのISPのアドレスである。
Indonesia Tangerang Pt. First Media Tbk ← これが所有者

Broadband Internet Service
Citra Graha Building 4th Floor
Jl. Gatot Subroto Kav 35-36
Jakarta - Indonesia ← ジャカルタ
おそらく個人か会社のパソコンが感染し、ボットになって送信していると思われる。

いかにもうっかり開いてしまいそうな文面である。
添付文書を開いて感染してしまうと、そのパソコンもボットネットに組み込まれるだろう。そして踏み台になり攻撃メールを発信するのだ。
加害者になるということだ。

IPA独立行政法人情報処理推進機構に警告があった。
「ウイルス感染を目的としたばらまき型メールに引き続き警戒を」

OCNを騙る不審なメールおよびフィッシングサイトにご注意くださいに類似のメールサーバーがある。

再び「Bebloh」感染を狙ったメールによる大型攻撃キャンペーンを確認( キヤノンITソリューションズ )に、「注文書」などの題名に、マルウェア実行ファイルをアーカイブしたZIPファイルが添付された記事がある。9月半ばから激増しているようだ。

ちなみに送られて来た宛先は、ネットに公開しておらず滅多に使わないメールアドレスなので、ここ宛に送受信していた誰かのパソコンが、ウイルスかボットに感染し、メールアドレスが流出したものと思われる。...哀れ也 合掌
しばらく経過を見て、攻撃があまり多いようであればメールサーバーでブロックする。


28 Sep, 2016 | mokimoc
« Prev item - Next Item »
---------------------------------------------

Comments



Leave comments

このアイテムは閲覧専用です。コメントの投稿、投票はできません。