最近お付き合いの無いお客様からウイルス付きのメールが届く一人のお客様から、ここ1か月ほどランダムにウイルスのくっ付いたメールが送られてきます。 当然そのお客様は気が付かれていると思うのですが、1か月を過ぎても忘れた頃にポロっと 送られてきます。  今朝受け取ったのはこのメールですが、拡張子が”.zip”の添付ファイルが付けられており、よく見ると 「The file [inline-589-1550.html] has been detected containing virus [HTML/Phishing.70A5!tr], and has been removed.」 と書かれているので、[HTML/Phishing.70A5!tr]と言うウイルスがくっついているようです。 ”has been removed”って事なのでサーバー側にて既に削除されたようなので実害はありません。 その内容を脅威百科事典で調べてみるとこのように書かれています。  HTML / Phishing.70A5!trは、トロイの木馬として分類されます。 トロイの木馬は、ユーザーの知らないうちに活動を実行するマルウェアの一種です。 これらのアクティビティには通常、リモートアクセス接続の確立、キーボード入力のキャプチャ、 システム情報の収集、ファイルのダウンロード/アップロード、感染したシステムへの他の マルウェアのドロップ、サービス拒否(DoS)攻撃の実行、プロセスの実行/終了が含まれます。 フォーティネットアンチウイルスアナリストチームは、常に説明を更新しています。 更新については、FortiGuard百科事典を定期的に確認してください。 |
どうやらトロイの木馬のようで、感染するとかなり致命的な影響を受けそうですね。 さて、このメール。 例によってヘッダーソースの”Received”からその経由地を確認してみます。 このメールには、複数の”Received”が付けられていますのでその数だけのサーバーを通過したということ。 1つ目は、一番最初に経由したサーバーで、差出人がいつも利用しているメールサーバー。 その”Received”はこんな風に書かれています。 Received: from [127.0.0.1] by scholasticabd.com |
”127.0.0.1”って事なので「localhost」すなわち自局。 メールを書いているPCがメールサーバーなのでしょうか? 次に書かれているのがこちら。 Received: from mxag.ascentbd.com (unknown [27.147.195.220]) |
このIPアドレス”27.147.195.220”にまつわる情報を拾ってみます。  このIPアドレスは現在バングラデシュのダッカにある「Link3 Technologies Ltd.」と言う名前の プロバイダーが所持しているようです。 もちろんこのプロバイダーがウイルス付きのメールを配信しているのではなく、このプロバイダーの サーバーを介し誰かがメールを送ってきたということです。
添付されたいたトロイの木馬は”[XF/CoinMiner.Z!tr]”別の日にはくっ付いているウイルスが別の種類であったりもします。 これは同じ客先のから物の件名で送られてきたものです。  それぞれ受け取ったメールアプリが違うので表現が異なっていますのでご了承ください。 このメールに付いているのは”[XF/CoinMiner.Z!tr]”と言うウイルス。 これもその内容を脅威百科事典で調べてみるとこのように書かれています。  書かれているのは [HTML/Phishing.70A5!tr]の時と全く同じです。 こちらも”been removed”と書かれているので既にウイルスは私のところに届く前に削除されています。 こちらも、ヘッダーソースの”Received”からその経由地を確認してみます。 Received: from unknown (HELO ?127.0.0.1?) (h_yoshida@********.co.jp@84.129.205.43) |
この”Received”には2つのIPアドレスが書かれていますね。 1つは”84.129.205.43”で1つは”127.0.0.1”ってlocalhost。 気になるのは”84.129.205.43”の方と”h_yoshida@********.co.jp”と言うメールアドレス。 このメールの差出人に書かれているメールアドレスと同じです。 まず、このIPアドレスにまつわる情報を取得してみます。  全然情報得られていませんね。 このIPアドレスには”t-ipconnect.de”と言うドイツのドメインが割当てられています。 ”t-ipconnect.de”でGoogle検索してみるとあまり良い情報は出てきませんので敢えてドメイン情報を 故意に隠しているような気がします。 このIPアドレスの割り当て地がこちら。  やはりその地はドイツで、バイエルン州のオーバーバイエルンと出ました。 使われたプロバイダーは「Deutsche Telekom AG」とあるので「ドイツテレコム」です。 そして”h_yoshida@********.co.jp”を調べると、このドメインは、神奈川県にある中小企業で 家具の設計、製造及び販売・店舗の設計施工を行っているようです。 これは私の想像ですが、こおn企業さんには何の非も無くて、きっとどこかで入手したメールリストに あったこの方のメールアドレスを騙ったものだと思われます。 まぁ、そんなこと調べたって何の解決のもなりませんが… この客先は、ずいぶん昔にクライアントとしてお付き合いさせていただいたものの それ以来疎遠で最近ではあまりお付き合いの無い方なので電話ではどうかと思いメールで やんわり連絡しておきました。
まとめ私以外にも他にもこの方から、ウイルス付きのメールが送られてきていると思うのですが、 企業的にこのような危険極まりないメールを1か月以上放置しておくのもどうかと思います。 これで解決しなければ直接電話連絡せざるおえませんね。 皆さんも、このようなメールが届くかも知れないのでご注意ください。 いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^; |