【IT】「駐禁報告書」偽装のマルウェアがメールで大量拡散  「WannaCrypt」騒ぎの裏で [無断転載禁止]©2ch.net

■ このスレッドは過去ログ倉庫に格納されています
1アザラシ伍長 ★2017/05/20(土) 08:16:18.52ID:CAP_USER9
「WannaCrypt」騒ぎの裏で情報窃取マルウェアがメールで大量拡散 - 半数は「駐禁報告書」偽装

5月12日以降、感染拡大の懸念からランサムウェア「WannaCrypt」の動向に関心が集まったが、その一方でバンキングマルウェアが活発な活動を展開していたという。

トレンドマイクロによれば、今週に入り、いわゆる「不正送金マルウェア」へ感染させることを狙ったメールが大量に流通。5月14日から5月18日15時までの約5日間に、同社が検知しただけでも43万3000件に上ったという。

こうしたメールは、ソーシャルエンジニアリングを行っており、受信者をだますために「保安検査」「請求書」「御礼」「支払条件確認書」「予約完了メール」など、さまざまな内容を偽装。なかでも目立ったのが、「駐禁報告書」を装う手口で、21万4000件と約半数を占めた。

一連の攻撃は、「Gozi」「Snifula」「Papras」といった別名でも知られる不正送金マルウェア「Ursnif」を感染させることが目的だったと見られる。

同マルウェアは、当初オンラインバンキングの利用者のみを対象としていたが、銀行、信用金庫をはじめ、クレジットカード会社、検索エンジン、ショッピングサイトなど、少なくとも37のサービスを対象とするなど、情報窃取の対象を広げている。

http://www.security-next.com/images/1705/20170519_tm_001.jpg
マルウェア感染メールに用いられた件名の割合(グラフ:トレンドマイクロ)

(Security NEXT - 2017/05/19 )

http://www.security-next.com/081875

2名無しさん@1周年2017/05/20(土) 08:17:52.42ID:Q3cphUWH0
あんなもん開ける奴いるのかよ(笑)

3名無しさん@1周年2017/05/20(土) 08:19:50.81ID:DCVCVF2c0
いるからやるんだろw

4名無しさん@1周年2017/05/20(土) 08:27:22.90ID:mreZKC330
どこからもメールこないから安心

5名無しさん@1周年2017/05/20(土) 08:32:07.53ID:R6AKMDxcO
だからテロ等準備罪が必要で、北朝鮮を逮捕しなきゃな

6名無しさん@1周年2017/05/20(土) 08:32:41.95ID:gCw5vLFD0

7名無しさん@1周年2017/05/20(土) 08:34:48.82ID:2TATu5y80
うちの職場にもきたわ
どこのシナチョンの仕業だよ

8名無しさん@1周年2017/05/20(土) 08:36:19.04ID:67yvXOeQ0
一杯来てたけど殆どspamhausのブラックリストに入ってて弾かれてた
使い古しのbotnetだな

9名無しさん@1周年2017/05/20(土) 08:38:40.69ID:14GXoyBW0
こんなのに引っかかる馬鹿は公務員以外居ないだろwww

10名無しさん@1周年2017/05/20(土) 08:49:47.33ID:oEZxKa5z0
うちの社長ダブルクリックしてたわw

11名無しさん@1周年2017/05/20(土) 08:51:00.64ID:+9LirSqR0
WannaCryptがわなないている

12名無しさん@1周年2017/05/20(土) 09:04:26.98ID:pvVHAIaT0
>>1
開けるバカいるの?

13名無しさん@1周年2017/05/20(土) 09:14:34.68ID:0FodhPlF0
>>12
隔離環境にして、Hiper-v上の仮想環境で開けてみたw

14名無しさん@1周年2017/05/20(土) 09:14:57.29ID:HsOPH3zV0
そりゃニートとか無職に業務関連のメールはどどか無いだろうからな。

15名無しさん@1周年2017/05/20(土) 09:19:19.53ID:HsOPH3zV0
○届く

仕事してない奴らは必ず開かなければならないメールが存在しない。
開かなければいいと安直に答える。

中身を確認する必要せが確実にあるメールで感染してる場合に
どうするかが課題なだけです。

仕事してないってのはそこが理解できないのだよ。

16名無しさん@1周年2017/05/20(土) 09:27:04.93ID:4kqYaeLO0
会社にも個人にも覚えがない奴から突然メールが来ても捨てます
大事な事なら電話してくるだろ

17名無しさん@1周年2017/05/20(土) 09:33:55.09ID:S+92BJ0D0
仕事関係なら、今時いきなりzipにしろ画像にしろ添付してくる奴はいね〜よ

18名無しさん@1周年2017/05/20(土) 09:36:48.88ID:yleacsph0
>>12
このUrsnifは、仮想マシン上では動作しないようになっているそうな。
まあ、「駐禁報告書」とかがんばっているが日本人でないところがにじみ出ている
タイトルなので今のところは簡単に避けられるが。


ソース
https://www.nttsecurity.com/-/media/nttsecurity/files/resource-center/what-we-think/ursnif_20161226.pdf

19名無しさん@1周年2017/05/20(土) 09:41:08.51ID:2VbMfK0s0
>>10
男前やなw

20名無しさん@1周年2017/05/20(土) 09:42:33.60ID:dzDPRqTj0
昔あったのは、大災害時帰宅経路アンケートっていうのが
国土交通省を名乗って送られてきたメール

メール本文には書き込み可能なPDFファイルに記入して変身してくれって
添付ファイルがあった

そのファイルがウィルス感染ファイルだったわけだが

国土交通省の具体的な部署名や担当者名がなかったなど
不審な点があって気付はしたが

21名無しさん@1周年2017/05/20(土) 09:45:14.24ID:AO4fvFQG0
>>15
> 仕事してない奴らは必ず開かなければならないメールが存在しない。
もう恋なんてしないなんて言わないよ絶対

22名無しさん@1周年2017/05/20(土) 09:47:59.13ID:2wkQaj7nO
これは支那人の仕業か

鮮人は普段漢字使わないしな

23名無しさん@1周年2017/05/20(土) 10:00:51.95ID:IrqRbGaJ0
>>15
怪しいメールの中身を確認しなきゃならんときは、先方に電話して送ったか確認するんだよ
あとは実行形式、マクロ形式のファイルも拒否すればだいたい防げる

24名無しさん@1周年2017/05/20(土) 10:01:14.66ID:dzDPRqTj0
>>22
外国人社員がよくわからなくて開けちゃうことあるとは聞いたね

25名無しさん@1周年2017/05/20(土) 10:03:03.01ID:IrqRbGaJ0
>>20
そういうメールは件名ググルと先人がいるからだいたいわかるな
あとは相手先に確認すれば回避できる

26名無しさん@1周年2017/05/20(土) 10:12:52.88ID:0/ZxBaK90
やはりマルウェアって踏んでみたくなるよね
スタンドアロンで捨ててもいいようなPCがあれば試してみたいものだ

27名無しさん@1周年2017/05/20(土) 10:19:12.96ID:Jb1Spes60
駐禁報告書のメールが2つ来たわ

28名無しさん@1周年2017/05/20(土) 10:29:08.24ID:2gKXXvj40
>>10
自分ところは るるぶからこんなの来たよと見せに来た

29名無しさん@1周年2017/05/20(土) 10:52:26.79ID:t/UNVGh50
写真や撮影の確認っていうのもたくさんきた
もう押し寄せてるって感じ

30名無しさん@1周年2017/05/20(土) 10:53:19.91ID:IZi80fJZ0
自分は駐禁報告書なんて受け取る立場じゃないから、誤爆かマルウェアってわかる。

31名無しさん@1周年2017/05/20(土) 11:09:12.64ID:BLw+NPBI0
そういえば沢山来てたけど、これだったのね。

あとLINE-----なんちゃらってのもここ数日多いよ。

32名無しさん@1周年2017/05/20(土) 11:20:16.57ID:f+PJdaQT0
節税効果・支払い条件確認書・駐禁報告書・請求書・保安検査でいずれもdocファイルが添付されてる
でもプロバイダが全てmeiwakuタグ付けて来るから迷惑フォルダに直行
大手企業が感染するってメールサーバの監視が甘いんじゃないの?

33名無しさん@1周年2017/05/20(土) 11:25:46.52ID:z+SaqmE80
これ系のスパム発信元IPはほとんどかベトナムとインド、メキシコ
特にベトナムのFTP telecom、お前はダメだ。

34名無しさん@1周年2017/05/20(土) 12:45:46.90ID:SpVV+bXa0
昔ラブレターウィルスのソース流出してるし
それの亜種だなこれ。

35名無しさん@1周年2017/05/20(土) 14:08:16.40ID:0FodhPlF0
>>34
ラブレターウイルスのコードを転用して書いてたら、社内のウイルスチェックに引っ掛かったことあるぞw

36名無しさん@1周年2017/05/20(土) 14:27:22.84ID:tvaxqNX10
>>33
カスペルスキーのリアルタイムみてたら
ベトナムとヨーロッパでサイバー戦争でもやってるのかって状態だったな

37名無しさん@1周年2017/05/20(土) 16:28:08.15ID:f+PJdaQT0
>>17
wordのdocファイルでマクロ埋め込んであるんだが

38名無しさん@1周年2017/05/20(土) 17:55:38.45ID:8AxzltNs0
>>37
どんな形式であろうと、初回のメールに添付する奴は怪しい

■ このスレッドは過去ログ倉庫に格納されています