Re:シルの日々の戯言。

散財が生き甲斐になりかけている、デジタルガジェット大好き自称黄色いネズミの戯言。

露骨に怪しい添付ファイルが到着したのでLinux環境で開いてみた

パソコン SPAMメール事例

<2016/03/19 Update>コメント経由で情報頂いたり、情報増えてきたので更新・追記しました。

仕事の合間にiPhoneでメールチェックをすると10年以上利用しているメールアドレス*1に露骨に怪しさ満載のメールが到着しました。
・・・ほぅ、もしかしたら最近話題のランサムウェアの類かしら?だがしかし手持ちの環境を潰すのも勿体無いので、Debianを突っ込んであるLibretto U100で受信して添付ファイルを覗いてみよう!・・・と言うのが今回の戯言の趣旨。
・・・もっともLinuxを対象とした怪しげなものだったら大問題なので注意を払いつつメール取り込んだらオフラインにして怪しいメールを見てみよう。*2

<2016/06/29>また怪しいメールが届いたので新しい記事を書きました。
sylve.hatenablog.jp

今回到着したメール

f:id:sylvester:20151208234951j:plain
まず怪しい点

  • Subject(メールタイトル)が無し
  • Fromが.ru(ロシア)ドメイン*3
  • 身に覚えのないUPS(配送業者)の不在通知
  • ZIPファイル

一見すると本物の不在通知連絡に見えるので、タイトルに違和感が無ければIT技術に疎いユーザーさんは速攻で騙されます。

ちなみに、この住所は本物かどうか調べてみましたが・・・

UPSジャパン (小口貨物・エクスプレス輸送部門)
〒108-0023
東京都港区芝浦4-13-23
MS芝浦ビル13F

https://www.ups.com/content/jp/ja/contact/index.html?WT.svl=SecNav

残念なことに実在する住所。まぁ、公開されている情報だから引用するのなんてコピペで余裕ですから仕方無いね。

ZIPファイルの中身

f:id:sylvester:20151208235614j:plain
「dhl 08122015 wfcp.exe」とか怪しさ爆発の添付ファイル。メールに記載されている注文番号とは無関係につけられた謎の番号(日/月/年形式の文字列とも受け取れますね)
メールはUPSだけど添付ファイルはDHL?それ以前にこれガッツリとexeファイルですし、DOS/Windows実行ファイルだよね。詐称メールによると「委託運送状」だけど、ドキュメントファイルでは無くて実行ファイルだよねー。

流石にこれ以上はアカンですし、(元々がDebianとりあえず突っ込んでみたと言う端末のため)バイナリエディタがある訳でもないので、これ以上は解析する気はありません・・・が、完全にウイルスかランサムウェアスパイウェアのいずれかですね。

もう1件届いてた

帰宅して怪しいメール受領していたら、別の怪しいメールが届いてた。
f:id:sylvester:20151209000042j:plain

このメールの怪しい点は以下の通り

  • 送信元は先ほどと同じくruドメイン(rambler.ruのポータルサイトドメイン)
  • 本文が日本語なのにタイトルが英語*4
  • メールアドレスが私のアドレスじゃ無い*5
  • 住所は先ほどのUPSだけど、DHLとか別の配送業者が記載されてる
  • 添付ファイルの拡張子が「.z」*6

本文が日本語なのにタイトルが英語と怪しさは残っておりますが、先ほどのメールに比べたら不信感は少々低め。海外資本の配送業者を偽っているので、英語のメールタイトルでも不思議では無いので一般ユーザーさんは先ほどと同じく簡単に騙されそうな内容です。・・・ただ、一般ユーザーには縁のない拡張子.zの添付ファイルが不信感を漂わせています。

ちなみにDHLジャパンの本社住所はこちら。

ディー・エイチ・エル・ジャパン株式会社
〒140-0002 東京都品川区東品川1-37-8

http://www.dhl.co.jp/ja/country_profile/office_express.html

ぉぃ、港区じゃねーじゃん!品川区って港区のお隣じゃねーか!

拡張子.zの怪しいファイルの中身

f:id:sylvester:20151209001718j:plain
拡張子なしの謎ファイル「dhl_contact38593」。先ほどの添付ファイルと違い、数字に法則性が見いだせない。なんだろね。
サッパリ分からんので、危険だけどファイルを解凍してみよう。
f:id:sylvester:20151209001814j:plain
プロパティ見たら「DOS/Windows実行ファイル」とか出たのでこれもさっきと同じだな!*7

つーか、こっちのメールはダメダメだな!Windows向けのランサムかスパイか知らんが怪しいソフトウェアなのに拡張子が無く、圧縮形式もWindowsではほぼ使われない拡張子とかガバガバスギィ!

なんだろねこれ?

軽くぐぐっても、真面目に調べてないのでそれっぽい情報は出てこない。*8
ただ、おそらく好ましくないソフトウェアであることは確実なので怪しいメールを受信した場合は即削除が鉄則です。間違ってもオイラみたいにファイルを解凍しようとか考えては駄目ですぞー!*9

残念ながらWindows環境で該当のメールを受信していないのでどんな怪しいファイルかは分かりませんし、即削除したのでウイルス対策製品に判定させることも出来ませんが、なんにせよこの手の怪しいメールは開かずに削除が鉄則です。

<2016/03/16 追記>

まとめ

今回の露骨に怪しい添付ファイル付きメールについて、軽くまとめてみました。
他にも詳しくまとめて下さっている方もいますが「東京都港区芝浦」の住所で検索すると、この記事が検索結果に表示されてる見たいなので簡単にまとめておきます。

予想以上に広まっている模様で、(何処とは言えませんが)お仕事先でも類似偽装メールに対する注意喚起が発せられているので、皆様ご注意下さい。*11
<2016/03/16 追記終了>

*1:そう、メールアドレスを頂いた直後からデ・ジ・キャラットファンサイトのBBSに頂いたアドレスを記載してしまったが為にすっかりSPAMメールばかり届くようになってしまった残念だけどもISPドメインで長年使っているので変更するにできなくなってしまったメールアドレスです・・・

*2:決して推奨される行為では無いどころか、物によっては拡散しかねないので真似しちゃ駄目ですよ。

*3:rambler.ruは、どうやらロシアのポータルサイトのようです。恐らくフリーメールが容易に取得出来るんでしょうねぇ。

*4:しかも「courler」では無く、「courier(直訳だと特使とかだが、多分配達人の意味)」と書きたかったのかな?→完全に空目でした、よく見たらキチンと「courier」って書いてあった・・・

*5:BCCに大量のアドレスを指定しているんじゃないのかねぇ

*6:*nix系でcompressコマンドで圧縮すると拡張子.zになります。

*7:ウイルス/ランサム/スパイのいずれかの存在してはイケナイ類のソフトウェアですね。

*8:これを殴り書きしている時点で0時半、もう寝る時間です。

*9:ウイルス対策製品だって完全じゃ無いですし、自ら地雷を踏みに行くような行為を取る必要はありません。今回も、狙われる可能性が低いと言う理由だけでLinux環境で開いてるけど、Linuxを狙った怪しげなファイルだった場合はLibretto U100はOS削除レベルで初期化しないと駄目ですしおすし。

*10:ウイルスに感染し、ウイルス対策製品で除去出来たとしても、初期化したほうが確実かと・・・。

*11:たまにこの記事に対して凄いアクセスがあるので、頒布されたタイミングが把握しやすいと申しますか、なんと言いますか;