最近ウィルスメールが多いですよね。

こんにちは

ここ最近ですが、日本語で来るウィルスメールがやたらと多い気がします。

自分だけかな？と思ってましたが、ニュースにものってたので注意喚起も含めてネタにしてみます。

今日見たのはインプレスのこの記事です。

→　ヤマト運輸以外にも……ZIPファイル付きのウイルスメール、いろいろなパターン確認、ログイン情報など盗むトロイの木馬「Bebloh」の感染を狙う

そうそう、こんな感じのメールが1日に結構な量できます。

メールボックスを見ると迷惑メールフォルダはこんな感じです。

多すぎますよね。あまり大量にばらまくと引っかからなくなりそうなもんですが。。

宅配便のメールはこんな感じです。

住所が無かったり、伝票番号の桁が足りなかったり、ファイルが添付されてたり。。と微妙に手抜きですが。。

請求メールはこんな感じです。

こっちはまだ、引っかかりそうですね。

最近来るこの手のメールの質が悪いというか不幸なのはウィルスチェッカーの対応が間に合ってないので、ウィルス対策をしてても無反応な可能性があります。

会社のPCなんかもそうで、受信時ではなく何日か経過してから検出するんですよね。

と言う事は、受信時に開くとウィルスチェッカーが入ってても感染するんですよ。

今時むやみに添付ファイルを開く人が多いとは思えませんが、うっかりする事もありますよね。

私も気をつけようと思います。

ちなみに会社で入れているウィルスチェッカーはこんな感じで結構検出してます。

通常時は月に１，２件検出するぐらいなんですよね。なのでここの所のウィルスの検出数は100倍ぐらいになってます。（^^;

見てみましたが98%はメールに添付されているウィルスです。2%ぐらいは誤検出でした。

ちなみにPCの数は十数台です。

で話は戻りますが、このウィルスですが。

使ってるSymantecのウィルスチェッカー（企業用）では受信時に検出しません。

オンラインのチェッカーで宅配便のファイルをチェックしてみます。

（操作ミスで感染とかは洒落にならないので、あまりおすすめしません）

VirusTotalって所を使ってみます。複数のウィルスチェッカーでチェックしてくれるサービスです。

まず、ブラウザでサイトを表示します。

メールに添付されているファイルをHDDに保存してから送信します。

アップロードが終わると、チェックしてくれますが他に同じファイルをチェックした様で、チェック済みの結果が表示されます。（選択肢が出て、チェックし直す事も出来ます）

53エンジン中、31エンジンで検出との事です。

AVGとかavastのフリー版を使った方が良いのでは？と思える結果です。（^^;

企業向けは有料なんですけどね。。

使ってるSymantecは下の方にありました。

パスしてますね、マイクロソフトも、マカフィーも、リストから外れてますが、トレンドマイクロもパスしてます。

国内で有名どころのウィルスチェッカーは軒並みスルーです（^^;

この手のは、改変も早いので仕方ないとは思いますが。。折角お金を払って使ってるので、来たウィルスは100%検出して欲しい所です。

と言う事で、ウィルスチェッカーが入ってるから安心！とはいえませんので、添付ファイルを開く時は送信元が信用できるかと、開く必要が有るかを事前に確認する事をおすすめします。

メールの信頼性（信ぴょう性）の確認ですが、基本的にメールソフトなどで表示されている送信元アドレスや名前、送信時刻等は送信元が設定している情報が表示されているので信用できません。

（ただし、使ってるメールサーバ側の機能である程度のチェックはしている事が多いです。SPF認証などはやってる所が多いですが、このサーバは諸事情がありやってません。SPF認証してれば、このメールは受信しないと思います。SPFは送信者のドメイン（メールアドレス）が正しい送信サーバから送信されているかチェックする機能です。）

メール自体のソースを見てみます。メーラーで見る機能が有る物は多いはずです。

宅配便のメールはこんな感じでした。上の方だけですが、最後の3行目より下はメール本文です。

この中で、信用できるのは赤枠の中だけで、それ以外の所に関しては用意に偽装できます。

ocnとかdion(kddiのプロバイダ)等の記載はありますが、全く信用できません。

送信元のFrom:はmail@kuronekoyamato.co.jpとなっていますが、語り放題ですが、送信元はその可能性が有るのね？と言う風に捉えます。

Deliveryd-to:の右側は送信元が指定した送信先のメールアドレスです。これは自分のアドレスが入っているはずです。

これを元に、送信元のサーバをみます。

赤枠の中の3行目がそうです。自分のアドレスの有るメールサーバが受信した送信元サーバの情報が記録されます。Recieved:がそうですが、最初の方だけ信用できます。2つ目以降は偽装可能です。

要するに自分のアドレスが格納されているメールサーバが記録したのがこの行になり、それだけは信用できます。

ちなみに、Recieved:が沢山あるのはメールって、環境によるとバケツリレーの様に複数のメールサーバを経由する事があります。その場合には、経由したメールサーバの受信記録が記録されます。

受信時に上に上に！と記録するので、一番上が自分のサーバ（最後のサーバ）となります。

で、自分のサーバにメールを配信したのは5.185.100.119と言うIPアドレス（住所の番号）を持つサーバです。

カッコ内（HELOの後）にはホスト名などが記録される事が多いですが、ここも偽装可能なのでカッコ外のIPアドレスだけを信用します。

で、5.185.100.119が本当に送信元が管理しているのかをチェックします。外部に借りてると判断しづらいですが。。

whoisと言うサービスがあります。これはIPアドレス（貸出制）を借りているのは誰？という情報を管理して公開しています。

直接見るのは面倒なので、Web上で見るサービスがあるのでそれを使ってみます。

私はここをつかってます。

→　ANSI　Whois

で、調べたいIPアドレスの5.185.100.119を指定して検索するとこんな感じで表示されます。

そうすると、指定したIPアドレスの利用者が表示されます。

Orange mobileって所ですね。Countryを見るとPLとなってます。ポーランドにあるモバイル系のサービサーかプロバイダーかな？と思います。余り意味が無いので調べません。

ただし、この宅配業者がポーランドにメールサーバを借りて運用しているとは到底思えません。

ややこしいので端折りますが、この業者さんのメールサーバは以下の4台のうちのいづれかになります。

上で説明したansi whoisで確認しましたが、国内というか自社でIPアドレスをの割当を受けて運用していました。

という事で、真っ黒です。

と長々と書きましたが、ウィスルメールなんかは見れば分かる範囲かと思います。

どうしても判定できない場合には、メールのソース（メールヘッダ）から相手側のメールサーバを調べて判定します。

まれに、メールアカウントを乗っ取られたりする場合もありますが、その場合には正規ルートで来るので判定できません。

ただ、そんな事は稀かなと思います。

見る必要が無い添付ファイルは開かないのが基本です。ご注意ください。

と分かってても自分は10年ぐらい前に引っかかって感染しました（^^;

すぐに気づいたので、LANケーブルを抜いて再インストールしましたけど。。

添付ファイル名がPDFだと思ったんですよね。。と思ってたらファイル名にスペースが大量に入ってて、かなり後ろに”.exe”と。。。orz

メールソフトだとファイル名が見切れてて。。（TOT)

そうそう、うっかり感染したかも！？と思ったら、まずはLANケーブルを抜いてください。

WiFiの場合には、WiFiをOFFにしましょう。

ネットワークを遮断すれば、被害はそれ以上広がりませんので、その後にどうするかゆっくり考えましょう。

ネットワークにつながってると、自宅内の他のPCに感染したり、PC内のファイルや情報が盗まれたりする可能性が否定できません。

あと、最近ランサムウェア（身代金要求型不正プログラム）が流行ってます。

PC内のファイルを暗号化して開けなくして、お金を払えば戻してやる！ってやつですね。

どうも金額が数万円程度と払いやすい様ですが、払っちゃダメですよね。

元に戻してくれる保証もありませんし、犯罪者にお金を渡すのも良くありません。

また、決済時の決済情報が悪用されて、犯罪に使われる可能性も否定できません。

駆除方法を探すと良さそうです。

長くなりましたが、人間うっかり！ってのがあるので気をつけようと思います。