元気に生きようシニアの生活ブログ

*

ウィルスメール ヤマト運輸を装う| 銀行を装う| 被害を防ぐために

      2017/12/10

我が家にもヤマト運輸を名乗るウィルスメールが来ました。妻がクリックしたのですが、なんとか無事に済みました。でも友人(専門家)が踏んでしまいました。

PC-ipad-820272_1920

 

概要

妻のパソコンで使っているメールアドレス(プロバイダーはso-net)にヤマト運輸を名乗る差し出し人からのメールが来ました。

妻は、また私が変なものを注文したな、”何かな?”と思って、添付ファイルをクリックしてしまったようです。

JTBの情報漏洩の話を聞いていたので、心配になった妻からもしかするとウィルス?と、いきなり聞かれました。

慌てて見てみると、怪しいメールで、添付ファイルもおかしいので、急遽対策しました。

いい機会なので、ウィルスソフトをインストールしました。

被害を防ぐ方法をメモしておきます。

(記事の改定/最新状況を追加してあります

銀行を装う最近のウィルスメールの記事にもリンクを追加しています)

スポンサーリンク

なぜ、妻はクリックしたか。ウィルスメールを見分けるコツは?

Question-hatena-1184896_1280

怪しいメール、知らない人からのメールの添付ファイルは絶対に開かないというのは、妻も知っているのですが、今回は、ついクリックしたようです。

その理由は、時々、本当にヤマト運輸からの配達メールを受け取っていたからです。我が家は、配達の予定をお知らせするサービスに入っていたので、配達予定メールを受け取ることがありました。

いつも受け取る本物のメールと、差出人メールアドレスも同じでしたし、今回も同じものとつい思ってしまったのです。

もう一つの理由としては、妻が私のことを信用していない。また何か変なものを注文したのではないか、そんな不信感によってファイルをクリックしたということもありそうです。

でもよく見ると、文面は全く異なるし、情報も不完全で、添付ファイルがzip形式で付いている、明らかに変な感じはします。

この、”変な感じ”、”違和感”が、怪しいメールに気づくための重要な第一歩です。

何かの理由で、頭に血が上っていたり、慌てていたり、ちょうど待っている荷物の連絡と勘違いしたり、そんな状態でクリックすることが多いと思われます。

以下メールの本文です。

■お届け予定日時
6月30日 時間帯希望なし※お届け予定日時につきましては、ゴルフ・スキー・空港宅急便(施設宛)の場合、プレー日(搭乗日)を表示しております。■品名:****************
■商品名:宅急便
■ご依頼主:
■伝票番号:8140−0959−0671ヤマト運輸株式会社

ウィルスメールの文面

一つの違いは、本物の配達案内では、通常は詳しい情報は、urlをクリックするようになっていることが多いですが、ウィルスメールでは添付ファイルがあります。

ただし、urlだからと言って絶対に安心というわけではありません。

(ヤマト運輸の名前を騙っていますが、実際のヤマト運輸とは全く関係のないメールです)

追加:2つ目のウィルスメール

<後日、私のアドレスにもヤマト運輸からウィルスメールが来ました>

文面は少し違っていますが、同じパターンです。

ヤマト運輸を名乗るウィルスメールの文面の例

ヤマト運輸を名乗るウィルスメールの文面の例

 

少し簡単な文面になっています。

これらのメールに対して、本物のヤマト運輸から”注意喚起”のメールが流れています。

文面は、そのまま引用しませんが、その中には、以下の趣旨が書かれていました。

  • 不審メールにはファイルが添付されているが、ヤマト運輸からのメールには添付ファイルはない。
    添付ファイルは絶対に開かず、削除すること。
  • また、不審メールはヤマト運輸からの「お届け予定eメール」等と同じ「件名」や「差出人アドレス」が表示されている場合がある。

IPA(独立行政法人情報処理推進機構)が公開しているガイドラインによると、ウィルスメールの場合、見分け方の一つとして、差出人のメールアドレスが、本物の組織からのアドレスとは違うことを挙げています。

しかし、今回のヤマト運輸の場合、本物と同じメールアドレスでした。

この手のウィルスメールも進化していることで、見分けがつきにくくなっています。

間違ってクリックした時の確認、どうすればいいか。

まず、念のため、すぐにPCをネットワーク接続から切り離しました。

次に妻に何をしたか、再度確認したところ、添付ファイルを一度クリックして開いたと言っていました。

クリックしても、添付ファイルがzipファイル(圧縮されたファイル)で、単にファイルを解凍した状態であれば、それを消去すれば間に合います。

実際に感染するまでには、幾つかのステップを経過する必要があります。

感染に至るまでのプロセスは一般に以下の通りです
  1. 怪しいメールを開ける(文面を見る)
  2. 添付ファイルを開ける(圧縮ファイルの場合.zipという拡張子が付いていますが、これをクリックして解凍する)
  3. 添付ファイルの中の実行ファイルを起動する(実行ファイルは.exeというような拡張子が付いています)(*要注意)
  4. コンピュータから実行しないように警告が出る(ただし、警告が出ない場合もある)
  5. 警告を無視して実行する

今回の場合は、ステップ2まで進んだだけのようです。

もし、ステップ3以降に進んで、解凍したファイルを開いて実行したのであれば、感染している可能性があるので、すぐに電源を切って、パソコンショップに持って行くか、詳しい、専門家に修復してもらうのが一番安全です。

自分で修復することも可能です。

ヤマト運輸を名乗るメールの場合は、トロイの木馬型である可能性が高く、この記事を参照してください。

なお、ある程度対策が進んでいるウィルスであれば、WindowsなどのOSが対応しているので、実行しようとするとOSから警告が出て実行しないように指導してくれます。

ただし、新しい新型のウィルスでは、警告は出ないかもしれませんので、最新ウィルスにすぐに対応する、ウイルスチェックソフトが役に立ちます。

(*要注意)

最近は、ファイル名を見ても、ウィルスの実行ファイルかどうか、分かりにくいので、ファイル名の拡張子に関しては、信用しないでください。なお、圧縮されたままでは、パソコンでのウィルスチェックには引っかからないようです。

会社などのメールサーバーで、最新のウィルス駆除に対応している場合は、メールサーバーで検出して、削除したという通知のメールが来る場合もあります。

最近筆者が受け取っているメールに添付されていたのは、一見、PDFファイル、JPEGファイルを圧縮しているように見えるファイル名と拡張子が付いています。

実際には、ウィルスの実行ファイルが、その中に圧縮されて入っているわけです。

<最近の例:短い意味不明なメールにも気をつけよう>

関連記事こちら “短いウィルスメールにも気をつけよう/ヤマト運輸を騙るメールの他にも”

 ウイルスチェックソフトのインストール

妻のパソコンには、ウィルスチェックソフトが入っていなかったので、いい機会なので、入れてチェックすることにしました。

3大ウィルスソフトといえば、ノートン、ウィルスバスター、カスペルスキーですが、私が以前、別のPCで使っていたソフトを入れてみることにしました。

代表的な定評のあるセキュリティソフトを入れておけば、実際、仮に駆除できなかったとしても、セキュリティソフトが強力なファイアウォールを搭載していますので、安全度が上がります。

ファイアーウォールは、ウィンドウズOSの内部から外部のネットワークに向けての通信を監視することで、情報が盗まれる可能性を低くしています。

さて、ネットに再度接続して、カスペルスキー 公式サイト 無料体験版 から、30日間無料で使える体験版をダウンロードします。

WindowsかMac用を選ぶことができるので、選んで、ダウンロードすると

kismac16.0.0.245-jp.dmgというファイルがダウンロードできます。(これはMacの場合です)

これをダブルクリックするとインストールできます。

インストールが終了すると、[ライセンス]画面が表示されますので、[体験版を使う]を選択します。次に、[体験版でアクティベート]ボタンをクリックし、最後に[終了]ボタンをクリックしして、30日無料体験版のインストールは完了です。

スクリーンショット 2016-06-30 午後2.30.59

このようなアイコンをクリックし、カルペルスキーを起動して、ウィルスチェックを行います。

ウィルスソフトをチェックするスキャンには簡易スキャンと、完全スキャンがあります。

まずは、簡易スキャンで、OS起動時に読み込まれるオブジェクトと、一般的なフォルダーをスキャンします。これは通常10分程度で終わるので、まずこれで脅威がないかどうかすぐチェックできます。

完全スキャンは、すべてのファイルをチェックするので、1時間程度(データが多い場合は、数時間)かかります。

私の場合は、簡易スキャンでは問題なしで、完全スキャンで、トロイの木馬のマルウェア(ウイルスファイル)が見つかり削除しました。

ヤマト運輸からのメールに含まれていた添付ファイルが、そのトロイの木馬と呼ばれる悪いプログラム(マルウェア)でした。

ちなみに、カスペルスキーは、ウィルスチェック/駆除能力が総合的に高いという定評があります。

定評のあるセキュリティソフトは幾つかありますが、特に総合的な検出能力を重視するのであれば、お薦めです。

カスペルスキー 2016 マルチプラットフォーム セキュリティ

まとめ

いくら気をつけても、ついクリックしてしまうことはあります。

万が一のためには、プロバイダーの安心サポートや、ウィルスチェックソフトのインストールしておくと、安心ですね。

カスペルスキー以外のよく売れていて実績のあるウィルス対応ソフトの公式サイトは以下の通りです。

定番のセキュリティソフト ノートン セキュリティ
【ウイルスバスタークラウド】

ESETセキュリティソフト

その他にも、プロバイダーがお勧めするセキュリティのサービスやオプションがありますので、自分のプロバイダーのホームページで確認して、早めに対策するのがいいと思います。(妻のパソコンのプロバイダーはSo-netなので,そこでお薦めされているKasperskiを導入することにしました。)

関連記事 -> スマホの場合

関連記事 -> So-netのセキュリティについて

  関連記事 ->トロイの木馬とは何?

ウィルスは常に進化するので、ウィルスの定義ファイルは常に更新しておくことが必要です。

あと、家族の間でいつも信頼関係を構築しておくこと、情報を共有しておくことも、結構、重要と思います。

後日談

専門家に後ほど確認したところ、最近のトロイの木馬型のウィルスは、すでにマイクロソフトにおいても対応されているので、Windowsのアップデートなど、きちんと行っていれば、警告を発してくれて、注意をすれば、実はそれほど脅威ではないそうです。

でも、保証は誰もできないので、必ずWindows Updateは最新にしておくとともに、ウィルスチェックソフトを入れ、怪しいメールの添付ファイルは絶対に触らないようにしましょう。

<追加しました>

友人のIT分野専門家が、2016年7月初めに、ヤマト運輸の名前を騙ったメールに添付されたファイルを踏んでしまったということで、状況をお聞きしました。

その専門家は、予定していたヤマトの宅配があったため、よく見ないでクリックしてしまったようです。

気がついてすぐにネットワークを遮断したのですが、間に合わなかったようで、Webの情報から、銀行と、カードにアクセスされたようで、すぐに銀行のオンラインが停止され、カード会社から連絡があったそうです。

なお最近のこの種のウィルスは良くできていて、ウィルスバスターでは完全に除去ができなかったということです。

ウィルスを消去すると、その瞬間に子供のウィルスが生まれる構造になっているそうです。

自力でOSに入って、駆除したそうですが、それでも、その後、自分の銀行のアカウントが停止して、結局2週間は銀行口座が停止して、ネット送金ができないという被害が出たようです。

みなさん、ヤマト運輸メールには要注意。

徐々に追加していきます。

<8月17日追加>

また、新たなヤマト運輸からのメールが来ました。

今度もマルウェアが見つかりました。

Trojan.Win32.Crypt.end

というトロイの木馬型のマルウェアが駆除されました。

これは明らかにWindows PC向けになりますので、AndroidやiOsのスマホでは開いても大丈夫でしょう。

関連記事 -> ウィルス/スパムメール、悪いWebサイト/シニア、初心者にもわかる対策

最後まで、読んでいただきありがとうございます。

<9月14日追加> 

昨日から、またヤマト運輸を名乗るメール、並びに短い文面の様々なウィルスメールが、妻のパソコンに入ってきています。

今回のメールには、今までから進化した、極めて巧妙な文面のヤマト運輸を名乗るメールもあります。

メールの最初に、フルネームで、日本人の名前が入っています。内容も実にリアルで、騙されやすいです。

妻も、自分ではないが、フルネームの名前の宛先があったので、誰かのものが間違えてきたのかと、一瞬問い合わせをしようかと思ったらしいです。

参考までに文面をつけます。

—–新たなヤマト運輸を名乗るウィルスメール——-

宛先をしっかり入れた詳しいバージョンの文面です。

 

(実名でフルネームが入る) 様

いつもクロネコヤマトの宅急便をご利用頂きありがとうございます。

お荷物のお届けについてお知らせします。

09月12日 11時33分にお届けに参りましたが、ご不在でしたので持ち帰りました。

■伝票番号

3939-1175-6204

■再配達のご依頼

1.担当ドライバー

2.インターネット

3.サービスセンター

    フリーダイヤル:0120-01-9625

    ※最寄りのサービスセンタに繋がります

    電話番号:0570-200-705

    お客様サービスセンター

■商品

    一般宅急便

※交通事情等により予定通り配達できないことがあります。

※このメールに返信されましても、お答えする事は出来ませんのでご了承願います。

※本メールの内容にお心あたりが無い方は、大変お手数ですが、下記ページから

登録解除設定を行ってください。

お荷物のお届け予定やご不在連絡の通知をLINEでも受け取れます!

http://www.kuronekoyamato.co.jp/campaign/renkei/LINE/index.html?T=FM

【クロネコメンバーズ登録情報に関するお知らせ】

正しくお客様情報をご登録いただく事で、適正にサービスをご提供させていただ

いております。

転居等によりご登録住所が異なる場合等は、お客様情報の更新をお願い致します。

ヤマト運輸株式会社


 

添付ファイルは、トロイの木馬型でした。

infection: Trojan.Win32.Agent.ijnk

2017年4月21日追記

最近のヤマト運輸からのメールは、

少し傾向が異なり、営業所留置きや

コンビニ受け取りなどの傾向に対応し

少し文面を変えつつあります。

気をつけましょう。

最近の傾向に関する関連記事はこちら

スポンサーリンク

2017年12月追記

最近の傾向は、銀行名を騙る迷惑メールが増加したこと。

正式なメールアドレスを偽装していて、文面も、一見本物に見えます。

銀行からのメールに気をつけましょう。

銀行を装いウィルスをダウンロードさせる迷惑メールの関連記事

 

ポイントをゲットし、現金や電子マネーに変換(広告)

日々の生活にhappyをプラスする|ハピタス

ポイントでお小遣い稼ぎ|ポイントタウン

 

 - インターネット, ウィルス, 情報セキュリティ