2016/06/15(水) [n年前の日記]
#2 [pc] 何故か連続でウイルス入りメールが届いたり
件名が「作業日報」とか「ご報告」とか、そんな感じのいかにも怪しいメールが、何故か3つ連続で届いたり。このメールアドレスに届くとは、珍しいな…。
本文は、おそらくわざと文字化けさせた何かが書かれてたり。知らない人の名前を使いつつ、もっともらしい文面が書かれてたり。そもそも本文が無かったり。
更に、どのメールにもzipファイルが添付されてた。zipファイル名は「〜 ppt.zip」とか「〜 doc.zip」とか「〜 pdf.zip」とかそんな感じで。
本当にzipファイルなのだろうか、実は「.zip」の後ろにスペースがたくさん並んでて、最後の最後で「.exe」とか「.com」とか「.scr」になってたりしないかな。などと気になって、デスクトップに添付ファイルを保存してから、あふ(afxw)でファイル名を確認したら、たしかにzipファイルだった模様。もちろん、中にはおそらくウイルスが入ってるはず。あるいは、zipを解凍する際に、解凍ツールの脆弱性を狙ってくるタイプだったりするのかもしれぬ。
さて、どんな種類のウイルスなのだろう、オンラインでウイルスチェックをできるアレコレで調べてみるか…と思っていたら、Windows Defender が「マルウェア発見!」と言い出して、3つのzipファイルを早々に完全削除してくれた。ログを見たところ、zipの中身は Trojan: Win32/Kalockan.A タイプのマルウェアだった模様。Windows Defender、やるなあ…。この程度はちゃんと見つけて対策してくれるのだな。偉いぞ、Windows Defender。
さておき、各メールのソースを眺めてどのサーバを経由して送られてきたのか調べてみたものの、3つのメールのヘッダー部分に共通点は無く。急に連続で届いたから、てっきり同じところから送られてきたのかなと思ったけれど、予想は全然外れてた。これはどういうことだろう…。決まった時間になると感染PCから一斉に送り始める仕組みなのか、それともヘッダー部分はいくらでも偽装できたりするからさっぱり当てにならないということなのだろうか。でも、サーバを経由する時点で偽装されるってのもちょっと考えにくいか。いやいや、最初からそこまで含めて偽装されてるのかな。しかしそんなことできるのかな…。
メールアドレスがどこから漏れたのかも気になるところ。でもまあ、ひたすら総当たりすれば、あるいはちょっと考えればすぐにぶつかる文字列でもあるから、流出したとは限らないか。本来、総当たりや辞書の組み合わせで作れないぐらいに、長くて若干意味不明なメールアドレスを考えないといかんのだろうけど。
とりあえず、後になって忘れてしまって「なんだコレ」とうっかり開いてしまわないように、件のメールを削除。そのうち何度も来るようなら、その時また調べ直すことにしよう…。
本文は、おそらくわざと文字化けさせた何かが書かれてたり。知らない人の名前を使いつつ、もっともらしい文面が書かれてたり。そもそも本文が無かったり。
更に、どのメールにもzipファイルが添付されてた。zipファイル名は「〜 ppt.zip」とか「〜 doc.zip」とか「〜 pdf.zip」とかそんな感じで。
本当にzipファイルなのだろうか、実は「.zip」の後ろにスペースがたくさん並んでて、最後の最後で「.exe」とか「.com」とか「.scr」になってたりしないかな。などと気になって、デスクトップに添付ファイルを保存してから、あふ(afxw)でファイル名を確認したら、たしかにzipファイルだった模様。もちろん、中にはおそらくウイルスが入ってるはず。あるいは、zipを解凍する際に、解凍ツールの脆弱性を狙ってくるタイプだったりするのかもしれぬ。
さて、どんな種類のウイルスなのだろう、オンラインでウイルスチェックをできるアレコレで調べてみるか…と思っていたら、Windows Defender が「マルウェア発見!」と言い出して、3つのzipファイルを早々に完全削除してくれた。ログを見たところ、zipの中身は Trojan: Win32/Kalockan.A タイプのマルウェアだった模様。Windows Defender、やるなあ…。この程度はちゃんと見つけて対策してくれるのだな。偉いぞ、Windows Defender。
さておき、各メールのソースを眺めてどのサーバを経由して送られてきたのか調べてみたものの、3つのメールのヘッダー部分に共通点は無く。急に連続で届いたから、てっきり同じところから送られてきたのかなと思ったけれど、予想は全然外れてた。これはどういうことだろう…。決まった時間になると感染PCから一斉に送り始める仕組みなのか、それともヘッダー部分はいくらでも偽装できたりするからさっぱり当てにならないということなのだろうか。でも、サーバを経由する時点で偽装されるってのもちょっと考えにくいか。いやいや、最初からそこまで含めて偽装されてるのかな。しかしそんなことできるのかな…。
メールアドレスがどこから漏れたのかも気になるところ。でもまあ、ひたすら総当たりすれば、あるいはちょっと考えればすぐにぶつかる文字列でもあるから、流出したとは限らないか。本来、総当たりや辞書の組み合わせで作れないぐらいに、長くて若干意味不明なメールアドレスを考えないといかんのだろうけど。
とりあえず、後になって忘れてしまって「なんだコレ」とうっかり開いてしまわないように、件のメールを削除。そのうち何度も来るようなら、その時また調べ直すことにしよう…。
◎ 親父さんPCにもウイルス入りメールが届いてた。 :
親父さんからも「変なメールが届いてるので見てくれ」と相談を受けた。似たようなウイルス入りメールが届いてた。
一つは、件名が「ご報告」になってるタイプ。本文も、自分のところに届いたソレと同じだった。もう一つは、日本郵便を騙った不在通知云々という件名・本文だった。どちらもzipファイルが添付してあったけど、日本郵便のソレはまた違う種類のウイルスだった模様。
どうやら親父さんは添付ファイル部分をうっかりクリックしてしまったらしいのだけど。テンポラリフォルダ内に一時保存されたソレを Windows Defender が「コレ、マルウェアやん。削除しときますわ」と削除していた、てなログが残ってた。
しかしちょっと問題が。Windows10の通知領域に、マルウェアを発見した旨、ちゃんとメッセージが残ってたのに、親父さんは通知メッセージがあることに気づいてなくて。Windows10の通知メッセージ(アクションセンター)って、年配の人には気づいてもらえないのだな…。かといってフルスクリーンで表示するような仕様にしたら絶対に皆からウゼーウゼーと言われる上に、その表示の仕方を逆に悪用したウイルスが出回ることすら容易に想像できるし。年配の人も容易に気づけて、なおかつ邪魔にならない通知表示…。素人考えでも、ちょっと思いつかない…。
一つは、件名が「ご報告」になってるタイプ。本文も、自分のところに届いたソレと同じだった。もう一つは、日本郵便を騙った不在通知云々という件名・本文だった。どちらもzipファイルが添付してあったけど、日本郵便のソレはまた違う種類のウイルスだった模様。
どうやら親父さんは添付ファイル部分をうっかりクリックしてしまったらしいのだけど。テンポラリフォルダ内に一時保存されたソレを Windows Defender が「コレ、マルウェアやん。削除しときますわ」と削除していた、てなログが残ってた。
しかしちょっと問題が。Windows10の通知領域に、マルウェアを発見した旨、ちゃんとメッセージが残ってたのに、親父さんは通知メッセージがあることに気づいてなくて。Windows10の通知メッセージ(アクションセンター)って、年配の人には気づいてもらえないのだな…。かといってフルスクリーンで表示するような仕様にしたら絶対に皆からウゼーウゼーと言われる上に、その表示の仕方を逆に悪用したウイルスが出回ることすら容易に想像できるし。年配の人も容易に気づけて、なおかつ邪魔にならない通知表示…。素人考えでも、ちょっと思いつかない…。
[ ツッコむ ]
以上です。