トロイの木馬ウィルスメール:「株式会社アドマック」の「原価請求書」迷惑メール

2019年1月8日迷惑メール、フィッシング詐欺

トロイの木馬系ウィルスメールが2018年の年末から急増しています。「株式会社アドマック」から、「12月、原価請求書です」というメールが届くと言うものです。このメールに添付された書類を開くと感染します。

トロイの木馬とは

トロイの木馬(トロイのもくば、Trojan horse)は、マルウェア(コンピュータの安全上の脅威となるソフトウェア)の一分類である。ギリシア神話におけるトロイア戦争のストーリーにあるトロイの木馬になぞらえて名前がつけられたもので、名前の由来の通り、有用な(少なくとも無害な)プログラムあるいはデータファイルのように偽装されていながら、その内にマルウェアとして機能する部分を隠し持っていて、何らかのトリガによりそれが活動するように仕組まれているファイル等を指す。

wikipediaより

トロイの木馬ウィルスは、前回紹介したマルウェアの一つです。被害者の認識を経ずにインストールされる「バックドア型」、クレジットカードやメールのパスワードを盗む「パスワード窃盗型」、特定のwebサイトに接続させる「クラッカー型」、悪意あるプログラムをダウンロードさせる「ダウンロード型」、もともと持っている悪意あるプログラムをインストールする「ドロッパー型」、被害者のルータやDNSの設定を無許可で改変し、被害者のマシン上にプロキシサーバを構築する「プロキシ型」などがあります。

株式会社アドマックの「原価請求書」メールには危険な添付書類がある

文面に多少の違いはありますが、下記のようなメールが届きます。件名の月数が当月に変更になるのはもちろんのこと、株式会社アドマックと言うのも実在する会社で、それを詐称した非常に悪質なメールです。
「http://www.admac.co.jp/」にアクセスしても「http://admac50.goodsie.co.jp/」というページに転送され、「このサイトにアクセスできません(ERR_NAME_NOT_RESOLVED)」「このページを表示できません(Webアドレスが正しいことを確認してください)」などのエラー画面になります。

件名:12月、原価請求書です
送信元:前田拓磨 maeda@admac.co.jp

いつも大変お世話になっております。
株式会社アドマックの前田拓磨でございます。

12月度分の後請求書を添付いたしましたので
お手数お掛け致しますがご確認をお願い致します。

問題ないようでしたら、押印後のPDFをお送りしておりますので
こちら原本として受領頂けますと幸いです。

ご郵送が必要な場合はご連絡頂けますよう宜しくお願い致します。
取り急ぎご用件のみではございますが
今後とも、何卒宜しくお願い申し上げます。

————————————————————
株式会社 アドマック ADMAC
http://www.admac.co.jp/
営業本部
営業推進部
前田 拓磨 MAEDA TAKUMA
本社 〒920-0864 金沢市高岡町23-18
(電話番号などが続く)

またこのメールには「原価請求書」という名前の添付ファイル(.docx、Wordファイル)がついています。

「原価請求書」という名前の添付ファイル(.docx、Wordファイル)はウィルスなので絶対に開けないこと

「原価請求書」という名前の添付ファイル(.docx、Wordファイル)の中身は時間がきたら、勝手に悪意のあるプログラムをダウンロードさせるjavascript(プログラムの一つ)が仕込まれているようです。
非常に危険なファイルですので、絶対に開かないでください。

実在する会社を詐称した悪意あるスパムメールの対処方法

この「株式会社アドマック」になりすましたメールは、1年以上前から存在しており、ついうっかり添付ファイルを開けた被害が続出しています。

悪質な「なりすましメール」であり、本当に「株式会社アドマック」が送信しているわけではありません。

対処方法は一つしかありません。
「添付ファイルを開けないこと」です。

また実在する「株式会社アドマック」自身が注意喚起のページを出しています。

https://admac50.wixsite.com/admac/notice

もし万が一、スパムメールに添付されたファイルを開いてしまったら…

今回添付されるのはWordファイルです。WordファイルもExcelファイルも不正なマクロを仕込んで攻撃させることができます。

今回の「株式会社アドマック」からのスパムメールはjavascriptを仕込んだWordファイルで、開くと特定時間にxb58.exeをDLをして実行する形のトロイの木馬型マルウェアでした。万が一開いてしまったら、すぐに完全にメールと添付ファイルを捨てましょう。

また、WordファイルもExcelファイルにもし不正マクロが仕込まれていた時について下記に掲載します。

パソコンでスパムメールの添付ファイル(.xls / .doc)を開いてしまった

パソコンにマイクロソフトのOfficeがインストールされていて、スパムメールに添付されたWordファイルかExcelファイルを開いてしまった場合、Officeでは上部に警告バーが出現し「セキュリティの警告 マクロが無効にされました」とでます。この隣にある「マクロの有効化」をクリックしないようにしましょう。これ以外にもあの手この手で有効化させようとしてきます。

MicrosoftOfficeのセキュリティ設定を変更するのが対策

Microsoft Word と Microsoft Excel にそれぞれ用意されてる セキュリティセンター の設定でマクロの動作を変更します。それぞれの [オプション] → 左メニューの [セキュリティセンター] → [セキュリティセンター] ボタン → 左メニューの [マクロの設定] でオプションを切り替えてください。「警告を表示せずにすべてのマクロを無効にする」か「デジタル署名されたマクロを除き、すべてのマクロを無効にする」を選択しましょう。

スマホでスパムメールの添付ファイル(.xls / .doc)を開いてしまった

2016年ごろまではマクロウイルスの動作環境は、Windows XP/Vista/7/8/10 だけでした。それ以外の環境のMac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメールの受信できても感染することはなかったのですが、2017年ごろから、Mac OSやiOS(iPhone/iPad)を狙ったマクロウィルスが登場してきました。

対策は同じく「マクロを無効にする」設定をしておくことです。
何よりも不審なメールは絶対に開かないようにしましょう。