『詐欺メール』客先から複数種類のウイルス付きのメールが送られてくる件

1か月以上も放置ってのは企業的に問題あり

※ご注意ください！
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速にをもっとうにご紹介しています。
このようなメールを受け取っても絶対に本文中のリンクをクリックしてはいけません！
リンク先は正規サイトを模した偽のコピーサイトで、フォームにアカウント情報や
クレジットカードの入力させそれらの情報を詐取しようとします。
被害に遭わないために絶対にリンクはクリックせず、どうしても気になる場合は
ブックマークしてあるリンクを使うかスマホアプリをお使いになってログインするよう
心掛けてください！
また、気が付かずにログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。

1. 最近お付き合いの無いお客様からウイルス付きのメールが届く
2. 添付されたいたトロイの木馬は”[XF/CoinMiner.Z!tr]”
3. まとめ

最近お付き合いの無いお客様からウイルス付きのメールが届く

一人のお客様から、ここ1か月ほどランダムにウイルスのくっ付いたメールが送られてきます。
当然そのお客様は気が付かれていると思うのですが、1か月を過ぎても忘れた頃にポロっと
送られてきます。

今朝受け取ったのはこのメールですが、拡張子が”.zip”の添付ファイルが付けられており、よく見ると
「The file [inline-589-1550.html] has been detected containing virus [HTML/Phishing.70A5!tr], and has been removed.」
と書かれているので、[HTML/Phishing.70A5!tr]と言うウイルスがくっついているようです。
”has been removed”って事なのでサーバー側にて既に削除されたようなので実害はありません。

その内容を脅威百科事典で調べてみるとこのように書かれています。

HTML / Phishing.70A5！trは、トロイの木馬として分類されます。
トロイの木馬は、ユーザーの知らないうちに活動を実行するマルウェアの一種です。
これらのアクティビティには通常、リモートアクセス接続の確立、キーボード入力のキャプチャ、
システム情報の収集、ファイルのダウンロード/アップロード、感染したシステムへの他の
マルウェアのドロップ、サービス拒否（DoS）攻撃の実行、プロセスの実行/終了が含まれます。
フォーティネットアンチウイルスアナリストチームは、常に説明を更新しています。
更新については、FortiGuard百科事典を定期的に確認してください。

どうやらトロイの木馬のようで、感染するとかなり致命的な影響を受けそうですね。

さて、このメール。
例によってヘッダーソースの”Received”からその経由地を確認してみます。
このメールには、複数の”Received”が付けられていますのでその数だけのサーバーを通過したということ。
1つ目は、一番最初に経由したサーバーで、差出人がいつも利用しているメールサーバー。
その”Received”はこんな風に書かれています。

Received: from [127.0.0.1] by scholasticabd.com

”127.0.0.1”って事なので「localhost」すなわち自局。
メールを書いているPCがメールサーバーなのでしょうか？

次に書かれているのがこちら。

Received: from mxag.ascentbd.com (unknown [27.147.195.220])

このIPアドレス”27.147.195.220”にまつわる情報を拾ってみます。

このIPアドレスは現在バングラデシュのダッカにある「Link3 Technologies Ltd.」と言う名前の
プロバイダーが所持しているようです。
もちろんこのプロバイダーがウイルス付きのメールを配信しているのではなく、このプロバイダーの
サーバーを介し誰かがメールを送ってきたということです。

添付されたいたトロイの木馬は”[XF/CoinMiner.Z!tr]”

別の日にはくっ付いているウイルスが別の種類であったりもします。
これは同じ客先のから物の件名で送られてきたものです。

それぞれ受け取ったメールアプリが違うので表現が異なっていますのでご了承ください。

このメールに付いているのは”[XF/CoinMiner.Z!tr]”と言うウイルス。
これもその内容を脅威百科事典で調べてみるとこのように書かれています。

書かれているのは [HTML/Phishing.70A5!tr]の時と全く同じです。
こちらも”been removed”と書かれているので既にウイルスは私のところに届く前に削除されています。

こちらも、ヘッダーソースの”Received”からその経由地を確認してみます。

Received: from unknown (HELO ?127.0.0.1?) (h_yoshida@********.co.jp@84.129.205.43)

この”Received”には2つのIPアドレスが書かれていますね。
1つは”84.129.205.43”で1つは”127.0.0.1”ってlocalhost。
気になるのは”84.129.205.43”の方と”h_yoshida@********.co.jp”と言うメールアドレス。
このメールの差出人に書かれているメールアドレスと同じです。
まず、このIPアドレスにまつわる情報を取得してみます。

全然情報得られていませんね。
このIPアドレスには”t-ipconnect.de”と言うドイツのドメインが割当てられています。
”t-ipconnect.de”でGoogle検索してみるとあまり良い情報は出てきませんので敢えてドメイン情報を
故意に隠しているような気がします。
このIPアドレスの割り当て地がこちら。

やはりその地はドイツで、バイエルン州のオーバーバイエルンと出ました。
使われたプロバイダーは「Deutsche Telekom AG」とあるので「ドイツテレコム」です。

そして”h_yoshida@********.co.jp”を調べると、このドメインは、神奈川県にある中小企業で
家具の設計、製造及び販売・店舗の設計施工を行っているようです。
これは私の想像ですが、こおｎ企業さんには何の非も無くて、きっとどこかで入手したメールリストに
あったこの方のメールアドレスを騙ったものだと思われます。

まぁ、そんなこと調べたって何の解決のもなりませんが…

この客先は、ずいぶん昔にクライアントとしてお付き合いさせていただいたものの
それ以来疎遠で最近ではあまりお付き合いの無い方なので電話ではどうかと思いメールで
やんわり連絡しておきました。