パソコンサポートの00H ～社長BLOG～

本日お客様よりご依頼があって対応した事例です。

郵便局からのメールが届いており
荷物を届けたが不在だった…
というような内容のメールで
圧縮された添付ファイルがあり、
それを開くと伝票が表示されるというもの。

ただこのメール伝票はすべて英語で、
直後、インターネットの証明書をインストールする画面が
一瞬表示されるというものです。
添付ファイルの拡張子は scr という
スクリーンセーバの実行ファイル。

インストールされる証明書とは
そのサイトが信頼されているかどうか？
を第三者機関が証明するというものです。
これを改竄・詐称することによって
悪意のあるサイトが、さも信頼されているサイトのように
表示されてしまいます。

今回のものは実在する GeoTrust の証明書を騙り、
インストールをしてきます。
正しいものは上記のようになっているはずです。

この ROVNIX はこの偽造された証明書を使って
オンラインバンキング等の情報を盗み出すことを狙っています。

攻撃はロシアから行われている定番のもののようで、
今回は親切にメールアドレスが xxxx@xxxx.ru のように
ロシアドメインからでした。
ある程度知識がある人であれば、
『なんでロシアから郵便局名義で？』と怪しいのですが。

ただ送信元は簡単に偽装できます。
今後は jp から送信される恐れがあります。
添付ファイルは基本危険なものという認識を
強く持つことが予防となります。

コンピュータウイルスの定義は
正確には自己複製を試みるもので、
今回の ROVNIX はトロイの木馬に分類され
正確にはウイルスではありません。
ただしマルウェアと呼ばれる危険なものです。