差出人を本人に偽装し、本人宛に送付される Document + 番号 の 添付ファイル付きメールに注意 !
Document + 数字 ( 確認したのは、Document 2 ) の zip 圧縮された js ファイルを添付したメールが、自分のメールアドレスから、自分宛に届く攻撃が確認されました。
以前から Internet 上で話題にはなっていましたが、今回、実際に確認したので、注意を喚起します。
送信者のアドレスは、自分自身で、Document 2 という添付ファイルが添付されていました。
zip 圧縮されているようで、受信、保存の段階では、Norton Security は、反応しませんでした。
中身は、悪質なダウンローダーでした。
メールアドレスの偽装です。添付ファイルは、出来るだけ開かないようにしてください。どうしても必要な場合は、送信先に確認を取り、手動でセキュリティスキャンを行ってからにして下さい。
今回受信した攻撃者からのなりすましのメールは、iPhone からのメールを偽装していました。
噂には聞いていました。いざ送られてくると、確かに自分で送ったファイルだろうと思って開いてしまう可能性も否定できません。日頃からメールは、テキストのみと制約しておけば、かなり安全が担保できます。
メールのヘッダー情報
注意: これは、偽装であり、送信者もメールサーバもこの攻撃者とは無関係です。
改行を入れてあります。
Return-Path:
X-Original-To: xxxxx@xxxxx.com
Delivered-To: xxxxx@xxxxx.com
Received: from mail001.phy.lolipop.jp (localhost.localdomain [127.0.0.1])
by mail001.phy.lolipop.jp (Postfix) with ESMTP id AE8AA14F066
for; Tue, 22 Mar 2016 19:33:07 +0900 (JST)
Received: from 172.17.0.176 (172.17.0.176)
by mail001.phy.lolipop.jp (LOLIPOP-Fsecure);
Tue, 22 Mar 2016 19:33:07 +0900 (JST)
X-Virus-Status: clean(LOLIPOP-Fsecure)
Received: from smtp-mx08.phy.lolipop.lan (HELO smtp-mx08.phy.lolipop.jp) (172.17.0.176)
by smtp-mx08.phy.lolipop.jp (qpsmtpd/0.82) with ESMTP; Tue, 22 Mar 2016 19:33:07 +0900
Received: from 79.33.78.194 (79.33.78.194)
by smtp-mx08.phy.lolipop.jp (LOLIPOP-Fsecure);
Tue, 22 Mar 2016 19:33:04 +0900 (JST)
Content-Type: multipart/mixed; boundary=Apple-Mail-D4649697-6C1E-DCE2-DAAD-80A21E5AFCC3
Content-Transfer-Encoding: 7bit
From:
Mime-Version: 1.0 (1.0)
Date: Tue, 22 Mar 2016 11:32:57 +0200
Subject: Document 2
Message-Id:
To:
X-Mailer: iPhone Mail (13B143)
図 01. : document 2 Virus 添付ファイルのNorton Securityによる検出
Issued by Volitional Engineering
( winveg.com ) on 23 Mar. 2016