好奇心

直感・閃き・気になる事探究を楽しむ

Amazonを語る「Order Details」には100%マルウェアが・・

Amazonからのお知らせメールかな?と思わせる「Order Details」という偽装メール。今ならなんと!メールを受信した人に漏れなく「マルウェア」がついてくる模様・・
amazon orderdetails
こんなメールは来てませんか?

Order Details
Order R:121216 Placed on May 28, 2014
Order details and invoice in attached file.Need to make changes to your order? Visit our Help page for more information and video guides.We hope to see you again soon. Amazon.com

和訳して要約すると・・

大量に注文ありがとう!
詳細は添付したデータを開いて確認してくれ
注文に変更がある場合は対応するからビデオガイドとかみてね

的な・・「身に覚えがない購入のお知らせ」Σ(゚Д゚;)シラネーヨ!!
数年前にも似たようなパターンは結構来てたようですが
最近になって周りからまた「なんじゃこりゃ!?」
という声が聞こえ始めています
これ、ウイルスというか、パソコンに侵入して
個人情報をかっさらうフィッシングとかのスパイウェアが仕込まれた
マルウェアメールですので絶対に開かないでください
誰もが一度は買い物をした事があるであろう「Amazon」だから
買い物はしてなくても、登録はした・・かも?という「Amazon」だから
amazon偽装メール 騙される
和訳した時の「注文ありがとう。詳細は添付データを・・」を読んだ結果
そんな注文は身に覚えがない!・・ではなく
アカウントを乗っ取られた!? と考えてしまい
詳細を確認しようとクリックしてしまう馬鹿・・素直な人が被害者となるΣ(゚Д゚;)ガビーン!!
これを未然に防ぐ方法はいくつかあるのでご紹介

受信メール設定はテキスト形式に!HTMLメールを開かない

HTMLメールの怖い所は、メールソフト上で
ブラウザ上と同じようにホームページが閲覧できる点
つまりHTMLソース上に含まれている画像を表示させるリンク
記載されているURLなどにアクセスして外部からリンクされることになる
例えば、そのページのソースに特定のプログラムを動かすための
アクショントリガー(スクリプト)があるとします
トリガーとは文字通り、拳銃の引き金と同じで
例えば「ユーザーがページにアクセスする」→プログラム実行などが可能です
つまり、メールソフト上でHTML閲覧を開始した時点で
「自動的に実行」される事を意味します
添付されたデータを自動開封
なんてコマンドがスクリプトで埋め込まれてたら
怖すぎるでしょ?((((;゚Д゚))))ガクガクブルブル
それを未然に防ぐために受信しているメールソフト側で
HTMLメールを自動的に開かないようにする設定が推奨されます
この設定をしてる人はこんな風な画面が表示されるので
なんだこのamazonを偽装したメールは!?と被害に会う前に気づくでしょう
amazonを偽装したメール
※HTMLを表示すると、公式のAmazonのロゴが勝手に利用されている
ただ、文章で「添付データの確認を・・」というのも
HTMLメールを自動受信しないように対策してる人に対する
添付ファイルを実行させるための「二重の罠」とも言える

セキュリティソフトで添付メールを排除する

私の場合はavastというセキュリティソフトを利用していますが・・
このAmazonを装った「Order Details」を受信するたびに
(」゚O゚)」マルウェアをブロックしました! とポップアップがでます
最初はこれが出たらすぐにPCのウイルスチェックを行い・・
パソコンを再起動し、中身のリカバリーを行ってましたが
どんだけやってもまったくそれらしいものは検出されず
特定のメールを受信した時だけ感知・隔離が発動するので
「外からの怪しいデータ」をブロックしてたと気づきました
言い換えれば、こういったセキュリティ対策もせず
受信メールもHTMLメールのまま添付ファイルも受信してた・・
そんな人のパソコンは気持ち悪いくらい
「マルウェアだらけ」かもしれませんのでご注意ください

ほっとくと怖いマルウェア・スパイウェア

スパイウェアというのは、いつでも侵入可能なドアを作るためのプログラムや
定期的に中身の情報を送信するなど、様々なタイプがあるため
それらを総称して「マルウェア」といいます

マルウェアの種類と特徴一覧
  • アドウェア:勝手に広告表示・ポップアップなどを出す
  • キーロガー:閲覧情報や入力情報を記憶し、外部へ送信
  • ブラウザハイジャッカー:ブラウザが則られページの改ざんから始まる・・
  • ジョークプログラム:叫び・恐怖画像などがいきなり表示される
  • バックドア:リモートアクセスを利用し、出入り口を作る
  • トロイの木馬:データ偽装の悪質プログラム。ファイル形式偽装

これにより、個人情報は入られたからすぐに奪われるという訳ではなく
悪意のある第三者が好きなタイミングで侵入・取得できる事を意味します
このAmazonからのお知らせを装ったメールは表向きなもので
・・実際は、アクセスしてきたブラウザなどの脆弱性の低い所か
スパイウェアをPC内部に侵入させて
他人のパソコンを自由に操作できる状態にするのが目的

※ブラウザを始め様々なソフトを最新版に更新が推奨されるのはそのため

人の目ではわからないけれど、受信するたびに
セキュリティソフトが (」゚O゚)」マルウェアきたー!
って騒いで対処してる訳ですからこれは動かぬ事実
毎回、メール受信のたびにブロックするマルウェア名は
Win32:Malware-gen
ちなみに、これは特定のウイルスを示す名称ではなく
名称もないような新型のウイルスから定番のウイルスまでの総称
しかし、ウイルスチェックなどで引っかかった場合は
「誤検出」の可能性もあるそうです
・・ただ、私の場合は、PC内のデータをチェックした際ではなく
メールを受信する際にでるので・・そらもう
「悪意しかない第3者の侵入攻撃」
身を守らないと「ただただ危険」って話
実際、検出時点では「Malware-gen」という総称でしたが
チェストに格納されたマルウェアを調べてみると
「TroJan-gen」というトロイの木馬と判明しました
つまり、メールで詳細を記載した添付されたzipファイル
形式偽装された「.exeという実行ファイル」だったというΣ(゚Д゚;)ヒィィ!!

メールのヘッダー情報の読み方

一般的にメールのやり取りをする程度あれば
相手がどこから、どのような経路でメールを送ってきたか?
そんなものは気にしないですよね
でも、悪意があるメールの場合
再発防止のためにチェックが必要です
その詳細を確認できるメールヘッダーの見方について解説します

受信メールを右クリック→プロパティ→詳細で確認

  • Return-Path:メールが届かなかった場合のエラーなどが報告されるアドレス
  • Delivered-To:受信者のアドレス(自分)あるいは他人からの転送
  • Received
    • from:送信したパソコン名またはホスト名
    • by:受け取ったサーバ名
    • with:SMTPなどの転送方法
    • id:転送時のID番号
    • for:宛先のメールアドレス; 処理時刻
  • From:一番下のReceivedが送信元で、一番上が自分のメールサーバ
  • 送信者のアドレス。ここが偽装可能でAmazon.comを名乗ってる

メールソフトよりもサーバーで受信しない設定に!

この「Order Details」メールが問題なのは
添付データとしてマルウェアが意図的に仕込まれてる点
つまり、PCのメールソフトに届いてしまうこと自体がリスクになるため
できるなら、その一歩手前のメールサーバーで削除したいです
そこで有効なのがこの仕組み

サーバーでのメールの振り分け設定

Xサーバー メール振り分け
通常のメール振り分けと違って
メールヘッダー情報内でも該当する条件を指定できるのが特徴
この「Order Details」メールにはヘッダー情報を見ると
対処に使えるふたつの共通点があります

件名が「Order Details」

差出人アドレスが「delivers@amazon.com」

これをサーバー側にスパムフィルタとしてセットすることで
サーバーからPCにメールを転送させることなく
闇のかなたへマルウェア付きメールを葬り去れます

応用すればうざい出会い系迷惑メールなどもサーバーで拒否できます

delivers@amazon.comを拒否して大丈夫?

ちょっとまってdeliversって宅配って意味でそれっぽいアドレスだけど
ほんとに受信拒否して大丈夫?と不安な方はこちらを参照

Amazon.co.jp で使用しているドメイン一覧

Amazon.co.jp は以下のドメインを使用してEメールをお送りしています。

  • amazon.co.jp
  • amazon.jp
  • amazon.com
  • marketplace.amazon.co.jp
  • m.marketplace.amazon.co.jp
  • gc.email.amazon.co.jp
  • gc.amazon.co.jp

amazon.comってあるじゃん!・・あるけど
Amazonが利用してないアドレスだっつーんだから
問題ない( ゚∀゚)ノΣ(゚Д゚;)イイノカ!!
そもそも、上記のサーバーでの受信振り分けは
「受信ドメイン」というざっくりしたポイントではなく
件名が「Order Details」でありながら
ヘッダー内に「delivers@amazon.com」というアドレスの明記がある事
2つ条件が完全一致するように絞ってるので
Amazonの通常のメールに関しては、正常に受信できる訳です

「Order Details」に関する対策まとめ

どこで自分のメールアドレスが漏れたんだ!?
・・なんて考えるだけ時間の無駄ですΣ(゚Д゚;)ガーン!!
届き始めたら行うべき対策をまとめておきます

セキュリティソフトを入れよう!

・・入れてなければもう手遅れだΣ(゚Д゚;)ガーン!!

メールの受信はテキストのみにしよう!

・・HTMLならもう手遅れだΣ(゚Д゚;)ズギャーン!!

メールサーバーで受信拒否しよう!

・・無料のメールサービスなら諦めろΣ(゚Д゚;)ドギャーン!!
いずれにせよ、マルウェア付きの状態で受信したら負け
インターネットの本当に恐ろしい所は
目に見える恐怖よりも、見えない恐怖
今、この瞬間にも、あなたのPCのデータは
悪意ある第3者の元へ送信されているかもしれない・・
インターネットを利用する以上、個人情報を守るために
スパイウェアやウイルス対策のセキュリティソフトは入れておこう

COMMENTS & TRACKBACKS

  • Comments ( 6 )
  • Trackbacks ( 0 )
  1. こんにちは!
    ブログランキングから遊びに来ましたRUIと申します。
    アマゾンを名乗るマルウェアとか
    本当にたちわるいですね!
    僕も以前アドウェアを出されるようになってしまい、ネットを使っていると3回に1回くらいの
    割合で全面広告が、出てくるようになってしまいました。
    もう本当にしんどかったですね。
    お互いマルウェア対策はしっかりしていきたいですね。
    また訪問させてもらいます。
    応援します!

    • RUIさん はじめまして
      アドウェアはフリーソフトのインストール時などに紛れ込むので
      気づかないでほとんどの人がインストールするパターン多いですね
      広告表示系はwebcakeが有名です
      こういう事を経験して、はじめてネットの怖さと対策を学んでいくので
      失敗は成功の母とはよくいったものだと感じます

  2. By 情報商材コンサルタント@ゴン

    たぬきちさん、
    始めましてゴンといいます。
    マルウェア
    恐ろしいですね・・・
    この記事をよんで
    もしセキュリティソフト
    入れてなかったら
    どうなってたんだろう?
    って考えると、ヒヤッとしました。

    • ゴンさん はじめまして
      個人のPCがウイルスでいっぱいになってなんかよくわからん
      海外サイトに飛ばされて画面真っ黒になってドクロマークでてきて
      PCが煙上げてぶっ壊れるのは自己責任だけど※過去PCで実体験
      ネットビジネスなど購入者のアドレスや名前など
      個人情報含むやりとりのデータを扱う場合
      セキュリティもそうですが、普段のネットサーフィンでも
      変なサイトや怪しいリンクをクリックしないように注意が必要ですね

  3. たぬきちさん、
    さきほどは、コメントありがとうございます。
    やはり、他の方のブログ、意見も見ないと、
    1人よがりといいますか、
    固定概念といいますか、
    そういう記事になってしまう気がしました。
    貴重なご意見ありがとうございました。

    • ゴンさん いらっしゃい
      あのコメントで参考になったのであればよかったです
      多くの情報を見れば見るほど、正解はわからなくなります
      結局何がいいかなんて、自分の判断しだいなので
      「世間一般の正解」が「自分にとっての正解」ではない
      そういう理不尽な事も多々ありますよ
      気負う事なく、やれる事をやる!( ゚∀゚)ノそれだけ

LEAVE A REPLY

*
*
* (公開されません)

Return Top