読者です 読者をやめる 読者になる 読者になる

Re:シルの日々の戯言。

折れた心が少しだけくっついたから何かを綴ってみるテスト。

巧妙に偽装を頑張った怪しい添付ファイル付きメールが到着したのでまたLinux環境で開いてみた

今日は本当だったら「生まれて初めて新幹線に乗った!いえーい!!!11」と言う3*歳らしからぬ幼稚な戯言*1を書こうと思いましたが、帰りの新幹線車内で非常に気になる詐称メールが届いたので予定を変更してお送り致します。

年末に露骨に怪しげなメールが届いておりましたが、今回はそれを上回るどころか、巧妙なメールタイトル・本文となっているので紹介しておきたいと思います。*2

sylve.hatenablog.jp

今回到着したメール

f:id:sylvester:20160629193600j:plain

今回の詐称メールは前回と異なり、かなり巧妙に作成されています。

  • 差出人が実際の通知メールと同一(恐らくアドレス偽装)
  • 件名も本物の通知メールと同一
  • 一見すると何も問題ない宅急便通知メール

油断するとIT関連に精通したユーザーさんも引っかかりそうなレベルで、日常的にAmazon楽天で買い物をしている人であれば簡単に騙されるパターンです。*3
但し、詰めが甘い部分もあり、以下の点に注意すれば「これは怪しいメールだ!」と気付けます。

  • 何故か「CC:」で別人と思われるメールアドレスが指定されている。
    • 「CC:」とは同報メール、詳細の解説は記事の趣旨と離れるので簡単に説明すると、他の人にも同じメールを送りたい場合に利用するオプションで、通常宅急便の通知を行う場合にはまず指定しないオプション
  • 商品名欄が「************」と表示されていない
  • ご依頼主欄が空白、誰が送ったかが記載されていない
  • 伝票番号が記載されているにも関わらず謎の添付ファイル(zipファイル)が付属している

ちなみに、本物のヤマト運輸からの通知メールはこんな文面になります。(アドレスや名前欄、その他必要な箇所をモザイク処理済み、本物のメールは2016年5月くらいに依頼したお財布の修理完了時に受領したメールです)
f:id:sylvester:20160629194553j:plain

見比べると・・・更に偽装メールには無い情報が沢山あります。

  • 配送状況確認・設定変更などの各種URL(アドレス)
  • 問い合わせ先・登録情報変更案内情報

ただ、今回の場合はこのメールが届いてパッと見ただけでは・・・騙されてしまっても仕方ないレベルですね・・・。

メールのヘッダー情報

今回はメールのヘッダー情報(通常は隠されているが、メールがどこを経由して届いたか、ITに精通した人が見るとある程度何となく分かる情報)も確認してみました。
f:id:sylvester:20160629195654j:plain
モザイク化されている部分は主に私の情報(及びメールアドレスの元ネタになってるプロバイダのOCN関連の情報)ですが、無慈悲にも(!?)そのままIPアドレスが掲載されている部分は恐らく送信元周りの情報です。
但し、この手の情報は幾らでも偽装可能なので参考情報程度にしかなりません。

しかし、どうやら以下の2つのIPアドレスが今回の偽装メールに関わっていそうです。

  • 218.189.132.146
  • 143.89.139.52
  • 218.217.171.119

チョット、Google先生経由で調べてみましょう。
f:id:sylvester:20160629200333j:plain
f:id:sylvester:20160629200338j:plain

あっ・・・(察し)
残り1個はもう見なくても大体予想付くからどうでも良いよね?*4

お待ちかねのZIPファイルの中身

f:id:sylvester:20160629200553j:plain
f:id:sylvester:20160629200603j:plain
恐らく宅急便の伝票として扱いたかったんでしょうねぇ。ただ、偽装メールの本文に「添付ファイルを参照」とも書かれていませんし、それ以前の伝票番号をメール本文に書いちゃ添付ファイル見てもらえる可能性が低くなる気が・・・。
とりあえず、添付ファイルはPDFファイルを偽装したDOS/Windows実行ファイルで、確実にウイルスまたはランサムウェアスパイウェアの類です。
f:id:sylvester:20160629201227j:plain
無理矢理エディタでバイナリを見てみましたが、「This is program cannot be run in DOS mode」と書かれているので、PDFでは無いことは確実です。*5

面倒な世の中になったものですね・・・

単に本物のメールから一部をコピーしただけとは言え、少しずつ巧妙な手口になってきているので、たかがメールですが注意して行かないと簡単に騙されてしまうような状況になってる・・・ような気がします。

以前からの「怪しいメールはすぐに削除!」と言う鉄則も、何を持って「怪しい」と判断するかが難しくなってきたので、*6正直どうやって注意喚起的な気の利いたことを書けば良いのかが分からなくなってきましたが、今の御時世にメールに何らかの添付ファイルがある場合は、怪しいメールとして疑ったほうが良いのかもしれません。また、ベタな対応ですがウイルス対策製品付属の迷惑メールフィルタなどを利用して怪しげなメールはなるべく排除される環境を整えてウイルス感染やランサムウェアの被害などに合わないよう自衛して行きましょう・・・と言ったところですかね・・・。

*1:ちなみに、休日出社の代休で平日にお休みを頂いたので、初新幹線ついでに(郡山で在来線に乗り換えて)会津若松まで足を伸ばし、白虎隊が自決したことで有名な飯盛山に行ってきました。

*2:今回はVirtual Box上のCentOS7にThunderbird突っ込んで該当のメールを受信してみました。

*3:正直に言うと、iPhone(スマートフォン)で受信したこともあり、スマートフォン用に必要最低限の情報のみ記載した通知メールかと見紛いました。・・・結局、商品名と依頼主が無い事と、謎の添付ファイルで「あ、ブログのn・・・偽装メールだ!!!11」と気付いた訳ですが・・・。

*4:実は記事を書いてる途中で残り1つのIPアドレスに気付いたけど、もう予想付くから良いや・・・

*5:詳細は、ITに精通したプログラム関連の人、こんなメールが届いてたら解析頼む。

*6:まだ偽装メールに不審な部分が残されているので何となく察しが付きますが、ITに詳しくない(スマホがメインでパソコンは仕事で使う程度の)ユーザーさんからすると、もう既に本物か偽装か分からないレベルに達しているんじゃないかと不安に思います。