【注意】クロネコヤマト「宅急便お届けのお知らせ」を語るウィルス添付付きメールに注意

各位

ここ最近、クロネコヤマトからの返事(mail [at] kuronekoyamato.co.jp)を装ったウィルス付きの詐欺メールが流行っているようです。本研究所のメールアドレスでの調査では、各個人宛へ詐欺メールは届いていないようですが、メーリングリストでメンバー外拒否されていることが判明しています。

内容は下記のような感じです。特にこの文章には不審な所はありません。
ただ ウィルスが添付(ZIP圧縮やプログラム、 .pdf.exe や .xlsx.exe などExcelやPDFを偽造しているもの等)されており、自動で添付ファイルが開くタイプの電子メールソフトや、手動で開いてしまうとコンピュータウィルス(ランサムウェアの模様)に感染する可能性があります。

スクリーンショット 2016-07-01 16.31.27

これを見る限り、返信先も差出人も正規のクロネコヤマトからの通知メールアドレスになっており、メールヘッダをみても即座には正規メールかどうか判断がつきにくいと思います。この判断方法は後述しますが、兎にも角にも添付ファイルを開く際には、常に開く前にウィルスを疑って後述するチェックをしてみてください。

 

関連情報

 

正規の送信元からの送信かどうかの判断方法

メールヘッダから、送信元を割り出し、正規の送信元かどうかの判断をします。
メールヘッダーを表示する方法は、メールを読んでいる電子メールソフトやウェブメールによって出来たり出来なかったり、また方法が異なります。Gmail、AOL、Hotmail, Thunderbird 等についての表示方法、メッセージヘッダー(Gmailヘルプ)に簡易説明がありますので参考にしてみてください。

メールヘッダーの Received は、メールが届くまでに通過したメールサーバーや端末の情報です。一番下が送信元になります。

下記がメーリングリストに来たウィルス添付付きメールを拒否したエラーメールになります。
ので実際に受け取ったメールヘッダーと少し異なりますが、参考にはなります。

名称未設定

このヘッダーをみて「怪しい!」と思ったのなら、上級者です!

少し解説します。

名称未設定−2

Received が3箇所あり、一番下が送信元です。
みると送信元は、116.151.22.122 と IPアドレスのみです。一番最初は端末から発信しているケースもあるのでIPアドレスだけの場合があります。しかしどこかで、サーバー名( ◯◯.kuronekoyamato.co.jp [IPアドレス] )などIPアドレス以外にそのドメインが入っている可能性が高いです。もちろん外部サーバーを使っていたら、そうではないので確実ではありません。そのため、あくまで1つの参考に留めます。

いずれにせよ、このIPアドレスがどこかは http://www.ip-tracker.org/locator/ip-lookup.php などのサービスで調べるとよいです。
上記例では中国のようですね。この段階で詐欺メールの疑いが高くなりました。

次に helo(HELO)にも注目です。メールを送信するときに「私は◯◯だ」というのを宣言します。これは適当なので信ぴょう性は低いのですが、だからといって適当にいれているのは怪しいですね。.bizとか .fr  が入っている時点で、「何故?」とざっと見て「おかしい」という直感を働かせる程度には役立つと思います。

で最終的には、一番上の Receivedにて 78.133.249.19 から本研究所サーバーに届いています。
このIPアドレスを調べるとポーランドですね。つまり、まとめると本メールは、中国から発信されて、ポーランド経由で届いたということになります。ヤマトからのお知らせメールなのに?? おかしいな、、とここまできたら分かるかなと思います。

でもそんな詳細チェックするの大変!!

世の中には Receivedデータを可視化してくれるサービスがあります。
今回は、 Google Apps Toolboxの Google Message Header  ツールをつかう方法を紹介します。

メッセージヘッダー(Gmailヘルプ)などを参考にメールヘッダーを表示し、これをコピーし、Google Message Header  先の入力ボックスにペーストします。そして、Analyzeボタンを押します。

メールのヘッダを解析する方法(東京経済大学)のヘルプも図解されているので、分かりやすいかなと思います。

先ほどのクロネコヤマトからのメールで、正規メールと詐欺メールをそれぞれ解析すると下記のようになります。
正規メールは、◯◯.kuronekoyamato.co.jp から発信されて、本研究所経由でGmailへ届いています。
少し間はセキュリティの関係上、経由サーバーを非表示にしています。

このケースで、本研究所メールサーバーと通信しているのは3番目(番号2)です。
このドメイン名についても http://www.ip-tracker.org/locator/ip-lookup.php でチェックしましょう。
この正規メールでは、日本国内だと分かります。もちろん、日本国内だから絶対安心というわけではありません。しかし一つの判断基準にはなります。

スクリーンショット 2016-07-01 16.22.44-i

クロネコヤマトの正規メール

他方、詐欺メールはどうでしょうか。
下記のように、全部 IPアドレスか unknown です。これだけでも「どこから送信してきたの?」怪しいとひと目で分かるかなと思います。

スクリーンショット 2016-07-01 16.23.42-i

クロネコヤマトの詐欺メール

 

このように絶対安心、間違いないというのは分からずとも、「怪しいぞ」と思う材料は比較的容易にわかると思いませんか。
その上で、そのメールが怪しそうなら開かずに、メールサーバー管理者等そういった調査に長けている部署へ相談するのがよいと思います。本研究所所員の場合には、情報処理室へお問い合わせください。

 

参考情報

 

2016年7月1日  情報処理室長・木谷

記事を評価する(This article is evaluated): [1 Star2 Stars3 Stars4 Stars5 Stars] 未評価(Not Yet)
読み込み中...