『詐欺メール』吉田さんから「ご確認をお願いします。」と、来た件

マクロウイルスが添付されていた！

昨日の夕方、「吉田」と名乗る見知らぬ人物から、宛先と件名の両方が私の会社名と私の氏名
になっている怪しげなメールが届きました。
そのメールと言うのがこちら。

書かれているのは「ご確認をお願いします。」と「宜しく御願い致します。」の二言のみ。
件名に私の会社名と私の氏名が書かれているので不気味ではありますが、仕事用のアドレスに
届いているし、宛先が件名に私の会社名と私の氏名となっているので仕事関係かな？
と思ったら、この「吉田さん」は、以前どこかの現場で取引のあった大手機器メーカーの
営業マンで、全く面識はなくメールだけのお付き合いでしたので全く記憶も薄れておりました。
そして最下段を見ると…「virus」…えっ？あっ？　ウイルス！？(^-^;
どうりで文章がおかしいわけだ。

この行を訳してみるとこう書いてありました。

添付されていたファイル「JH-4493 report.xls」を削除したと書いてあります。
この添付ファイルは「VBA」(Visual Basic for Applications)を悪用したマルウェアです。
拡張子の”.xls”が示す通りこれはEXCELのファイルです。
EXCELに搭載されているマクロ機能は、複数の操作をまとめて処理できる機能ですが
このマクロを悪用したマルウェアも多数存在しており今回の「JH-4493 report.xls」も
そのうちの1つと考えられます。

この”Agent.2826”ってマルウェアがどのようなことを引き起こすか詳しくは知りませんが
もし誤ってこのファイルを開いてしまうと、その時点でマルウェアに感染し、一般的には
同じファイルを複製し他の文書ファイルにも感染していきます。
さらに、Microsoftの代表的なメールソフトのOutlookと連携し、そのアドレス帳から先頭の
50件を選択して宛先とし、同じマクロウイルスが仕込まれた添付ファイル付きのメールを
そのアドレスに送り付けるというロジックで感染を広げていきます。

検証はあくまで想像ですが…

では、ちょっとだけこのメールを検証してみたいと思います。

こちらは、ソースから抜き出したフィールドがこちらです。

ウイルスを付けて送って来るんだから素直に情報を書き出してるなんて考えられませんが
一応形式的に…
まず、差出人のメールアドレスに使われているドメイン”gdsummer.com”について。
持ち主はアメリカのホスティング会社「GoDaddy」が保有し管理している模様。

そしてウェブ検索してみるとその利用者は、メキシコの企業でした。
これはあくまで想像ですが、”Received”に記載されているIPアドレス”67.61.107.207”と
”gdsummer.com”を割当てているIPアドレスと異なるのでこのメールアドレスは偽装の
可能性が大きいように思います。
因みに”Received”に記載されているIPアドレス”67.61.107.207”には”sparklight.net”って
ドメインが割当てられていました。

こちらは、アメリカのプロバイダーです。
これもあくまで想像ですが、おそらく乗っ取りに遭ったサーバーから送られてきたもので
しょうね。

まとめ

このようなマルウェアを最初に作って送る輩が一番悪いのですが、受け取ったメールにある
身に覚えのない添付ファイルを
それにしてもこの吉田さん、大手機器メーカーの営業マンとして色々と後処理がさぞ大変で
しょうね…(;^_^A
ただでさえ添付ファイルを敬遠しクラウド経由でファイル交換する風潮の世の中です。
皆さんも添付ファイルは安易に開かず、安全かどうかウイルスチェックしてから展開するように
心掛けましょうね！

いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;