Amazon.comのOrderメールを騙るスパムが届きましたので別記事で詳しく書きました。
普段からメールをみていると、日本語の迷惑メールも多いのですが、英語のスパムも大量に届きます。
これだけしつこいと引っかかる人がいるのかな?と考えていたんですが、海外のサイトで買い物したり、海外のサイトのサービスを利用している人は、うっかり開いてしまうこともあるのかも。
この記事では最近大量に届いた迷惑メールの中身の内容について調べたことと、頻繁に来る英語スパムの情報をまとめています。
やや長くなってしまったので、目次から探すか、Ctrl+Fで調べたいワードを検索してみるとチェックしやすいです!
- 1通目 Emailing: Invoice(数字).pdf
- 2通目 please sign
- その他のスパム
- 件名:Cancellation
- 件名:Statement
- 件名:Emailing: Image(数字).jpg
- 件名:Audit Report
- 件名:[Vigor2820 Series] New voice mail message from 01478719696 on 2016/08/23 18:26:30
- 件名:mortgage documents
- 件名:Please find attached invoice no: (番号)
- 件名:FW: [Scan] 2016-08-13 13:50:50
- 件名:paycheck
- 件名:flight tickets
- 件名:bank transactions
- 件名:Voice Message from Outside Caller (2m 43s)(2016/9/1追加)
- 件名:「Scanned image from MX2310U@(ドメイン名)」
- 件名:Travel expense sheet
- 件名:old office facilities
- 件名:Credit card receipt
- 件名:Message from “CUKPR(数字7桁)”
- 件名:Invoice INV0000(数字4〜8桁)
- 件名:Offer #192
- 件名「Account report」
- 件名「Delivery Confirmation: (数字)」
- 件名「Renewed License」
- 件名「Documents Requested」、「Re:Documents Requested」
- 件名なし
- 件名「Tracking data」
- 件名「Out of stock」
- 件名「Receipt (数字) from The Music Zoo」
- 件名「Document No (数字)」
- 件名「Clients accounts」
- 件名「Payment」
- 件名「Temporarily blocked」
- 件名「complaint letter」
- 件名「contact information」
- 件名「Refund」
- 件名「Travel Itinerary」
- 件名「It Is Important」
- 件名「A/C (番号) – Overdue Invoice」
- 件名「Fax transmission: F-(数字)-(数字)-(数字)-(数字).zip」
- 件名「scan paper」
- そんななか最強なのはGmail
1通目 Emailing: Invoice(数字).pdf
まず最初に、件名がEmailing:Invoice(数字).pdfやEmailing:Invoice(数字).docといった、Invoice(請求書)と偽って送ってくるメールです。
本文はなくPDFやWordファイルを添付しているようにみせているマクロウイルスファイルです。
中身は先日紹介したVirus Totalで調べてみます。
検出率が24/55と43%。フリーのウイルス対策ソフト(ClamAV、Avast、Kingsoftなど)では、軒並み検出できていないです。
ウイルスの名前はソフトによって異なりますが、Ad-AwareやGDataなど複数の対策ソフトで表示されているW97M.Downloader.ECF
は実行すると、マルウェアを自動でダウンロードして実行するタイプ。
ダウンロードしてきたマルウェアは、ユーザーの個人情報を盗むものだったり、スパムを送ってしまうものなどがある。絶対に実行してはならないです。
2通目 please sign
次は件名が「please sign_で本文は以下の通りです。何やら領収書にサインしてくれと言っているようだ。
Dear staff
Please sign the receipt attached for the arrival of new office facilities.
Best regards,
Abigail Pennigton
こちらの添付ファイルはZipファイル。検出率が異常に低いのが気になります。
また、TrendMicro、Symantec、McAfeeといった大手3社が検出していないのも気になるところ。
そんなわけないよな・・・と思い、わたしのPCに入っているSophosでチェックしたところ・・・
ちゃんと検出しました。このサイトはどういうルールで掲載しているか、ちょっとわからなくなりました・・・。
添付ファイルの中身はjavascriptのファイルでランサムウェアというやつです。
「ランサムウェア(Ransomware)」とは?
ランサムウェアとは、感染したPCをロックしたり、ファイルを暗号化したりすることによって使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求する不正プログラムです。身代金要求型不正プログラムとも呼ばれます。
脅威内容
スパムメールや、改ざんした正規サイトから、脆弱性を攻撃する不正サイトへ誘導され、ランサムウェアに感染
ランサムウェアが活動開始すると、感染PCの特定機能を無効化し操作不能にする、もしくは、データファイルを暗号化し利用不能にする、などの活動が行われる
PCを感染前の状態に戻すことと引き換えに金銭の支払いを要求する画面が表示される
ランサムウェアに感染するとPCを操作できなくなり暗号化、戻すために身代金を要求されたりと良いことはないです。亜種もさまざま。
画像引用:ランサムウェアにより暗号化されたファイルの復号ツールを公開 | トレンドマイクロ セキュリティブログ
このタイプはPCだけではなく、Androidのスマホにも感染する場合があるので、スマホユーザーも注意する必要があります。
また、感染経路はメールだけではなく、ネットで感染サイトにアクセスすることで感染する場合があるようです。ウイルス対策ソフトは必須になりますね。
その他のスパム
以下の内容も最近多いので情報を追加します。
件名:Cancellation
Dear (名前),
Attached is the paper concerning with the cancellation of your current credit card.
Confirm to us for receiving.
King regards,
Jamal Erickson
Account Manager
(ID:bf9103***2ad060e13049)
件名:Statement
Hi,
The monthly financial statement is attached within the email.
Please review it before processing.King regards,
Billie Blair
(Topic-ID: 0432c5cfd58d7b6c307c6f4cb***295eba86305)
※IDに意味があるかもしれないので念のため伏せてあります。
件名:Emailing: Image(数字).jpg
本文無し
件名:Audit Report
Dear value-domain
The audit report you inquired is attached in the mail. Please review and transfer it to the related department.
King regards,
Heather Dotson
件名:[Vigor2820 Series] New voice mail message from 01478719696 on 2016/08/23 18:26:30
Dear XXXX :
There is a message for you from 01478719696, on 2016/08/23 18:26:30 .
You might want to check it when you get a chance.Thanks!
件名:mortgage documents
Dear 名前, I am attaching the mortgage documents relating to your department.
They need to be signed in urgent manner.Regards,
Daphne Gilbert
件名:Please find attached invoice no: (番号)
Attached is a Print Manager form.
Format = Portable Document Format File (PDF)
________________________________Disclaimer
This email/fax transmission is confidential and intended solely for the person or organisation to whom it is addressed. If you are not the intended recipient, you must not copy, distribute or disseminate the information, or take any action in reliance of it. Any views expressed in this message are those of the individual sender, except where the sender specifically states them to be the views of any organisation or employer. If you have received this message in error, do not open any attachment but please notify the sender (above) deleting this message from your system. For email transmissions please rely on your own virus check no responsibility is taken by the sender for any damage rising out of any bug or virus infection.
件名:FW: [Scan] 2016-08-13 13:50:50
—–Original Message—–
From: “Franklin”Franklin24056@xxx.jp
Sent: 2016-08-13 13:50:50
To: xxxs@xxx.jp
Subject: [Scan] 2016-08-13 13:50:50—
Sent with Genius Scan for iOS.
ttp://bit.ly/download-genius-scan
リンクは念のため先頭のhを取ってます。Genius ScanというiPhoneのPDF Scannerで取り込んだファイルをメール転送しているように装っているメール。大量に届きました。
件名:paycheck
Hey (名前), as you requested, attached is the paycheck for your next month?s salary in advance.
Sincerely yours,
Allison Whitney
差出人は微妙に変わるよう(一番最後の行)
件名:flight tickets
Good evening (名前).
I am sending you the flight tickets for your business conference abroad next month.
Please see the attached and note the date and time.Respectfully,
Pearl Newman
件名:bank transactions
Good morning (名前).
Attached is the bank transactions made from the company during last month.
Please file these transactions into financial record.Yours truly,
Dana Potter
差出人は微妙に変わるよう(一番最後の行)
件名:Voice Message from Outside Caller (2m 43s)(2016/9/1追加)
Voice Message Arrived on Friday, Aug 26 @ 8: 21 AM
Name: Outside Caller
Number: Unavailable
Duration: 3m 49s
_________________
(ドメイン) SV9100 InMail
件名のカッコの部分と末尾のドメイン部分はメールによって異なる。差出人はPeach Telecom。Sophosで検出されなかったのでVirus Totalの結果も貼っておきます。
McAfeeの結果であるJS/Nemucod.mtによるとこれもランサムウェアのようですね。ご注意ください。
件名:「Scanned image from MX2310U@(ドメイン名)」
Reply to: office@XXXX.jpoffice@XXX.jp
Device Name: MX2310U@XXXX.jp
Device Model: MX-2310U
Location: ReceptionFile Format: PDF MMR(G4)
Resolution: 200dpi x 200dpiAttached file is scanned image in PDF format.
Use Acrobat(R)Reader(R) or Adobe(R)Reader(R) of Adobe Systems Incorporated to view the document.
Adobe(R)Reader(R) can be downloaded from the following URL:
Adobe, the Adobe logo, Acrobat, the Adobe PDF logo, and Reader are registered trademarks or trademarks of Adobe Systems Incorporated in the United States and other countries.http://www.adobe.com/
PDFスキャンを転送しているのを装ったスパムっぽいです。
件名:Travel expense sheet
Dear (メールアドレスの@の前),
Here is the travel expense sheet for your upcoming company field trip. Please write down the approximate costs in the attachment.
Warm wishes,
Rosalind Cobb
添付はJS/Dwnld-OJPというスパイウェアのようです。
件名:old office facilities
Hi Ben,
Attached is the list of old office facilities that need to be replaced. Please copy the list into the purchase order form.Best wishes,
Trisha Jensen
Lockyの文字列が。こちらもランサムウェアです。
件名:Credit card receipt
Dear (名前),
We are sending you the credit card receipt from yesterday. Please match the card number and amount.
Sincerely yours,
Alba Gomez
Account manager
中身はいつもと同じMal/DrodZp-Aというマルウェア。感染者のPC操作情報、個人情報、銀行口座のID、パスワードなどリモートサーバーへ送信する可能性が高いようなので、一切触れずにゴミ箱へ送りましょう。
件名:Message from “CUKPR(数字7桁)”
This E-mail was sent from “CUKPR(数字7桁)” (Aficio MP C305).
Scan Date: Tue, 06 Sep 2016 13:38:08 -0400
Queries to: <scanner@(送り先ドメイン)
件名:Invoice INV0000(数字4〜8桁)
Please find our invoice attached.
件名:Offer #192
Hello!
We are looking for employees working remotely.
My name is Margaret, I am the personnel manager of a large International company.
Most of the work you can do from home, that is, at a distance.Salary is $3000-$6000.
If you are interested in this offer, please visit
Our SiteBest regards!
件名「Account report」
Dear (名前), we have detected the cash over and short in your account.
Please see the attached copy of the report.
Best regards,
Cecelia Tate
e-Bank Manager
件名「Delivery Confirmation: (数字)」
PLEASE DO NOT REPLY TO THIS E-MAIL. IT IS A SYSTEM GENERATED MESSAGE.
Attached is a pdf file containing items that have shipped
Please contact us if there are any questions or further assistance we can provide
件名「Renewed License」
Here is the company’s renewed business license.
Please see the attached license and send it to the head office.
Best regards,
Madge Potts
License Manager
件名「Documents Requested」、「Re:Documents Requested」
Dear (名前),
Please find attached documents as requested.
Best Regards,
Marian
件名なし
Good day!
We are looking for employees working remotely.
My name is Enid, I am the personnel manager of a large International company.
Most of the work you can do from home, that is, at a distance.Salary is $2000-$5400.
If you are interested in this offer, please visit
Our Site
Good day!
件名「Tracking data」
Good afternoon(名前),
Your item #(番号) has been sent to you by carrier.
He will arrive to youon 23th of September, 2016 at noon.The tracking data (英数字の文字列の羅列) is attached.
件名「Out of stock」
Dear (名前), we are very sorry to inform you that the item you requested is out of stock.
Here is the list of items similar to the ones you requested.
Please take a look and let us know if you would like to substitute with any of them.
件名「Receipt (数字) from The Music Zoo」
Thank you for your order! Please find your final sales receipt attached to
this email.Your USPS Tracking Number is: (数字)
This order will ship tomorrow and you should be able to begin tracking
tomorrow evening after it is picked up. If you have any questions or
experience any problems, please let us know so we can assist you. Thanks
again and enjoy!Thanks,
The Music Zoo
55 Lumber Rd | Roslyn, NY 11576 | 516.626.9292
件名「Document No (数字)」
Thanks for using electronic billing
Please find your document attached
Regards
JOSEPHINE LILLISTON
一番最後の名前がVELMA CHISNALだったりLEONEL WAGSTAFF、LYNWOOD WOODVILLEなどパターンがあるようです。
件名「Clients accounts」
Dear (名前),
I attached the clients’ accounts for your next operation.
Please look through them and collect their data. I expect to hear from you soon.
Jeanie Garcia
Regional Sales Director
Tel.: (367) 798-89-59
一番最後の署名何パターンかあるようです。
件名「Payment」
Dear (名前),
You are receiving this email because the company has assigned you as part of the approval team.
Please review the attached proposal form and make your approval decision.If you have any problem regarding the submission, please contact Gonzalo.
Best regards,
Pansy Bernard
Sales and Marketing Director
最後の署名が微妙に異なるものが何通か届きました。
件名「Temporarily blocked」
Dear (名前),
this is to inform you that your Debit Card is temporarily blocked as there were unknown transactions made today.
We attached the scan of transactions. Please confirm whether you made these transactions.
King regards,
Xavier Dean
Technical Manager – Online Banking
e-mail: Dean.461@gulfcoastventures.com
署名の名前とメールアドレスが微妙に異なる内容で多数送られてきています。
件名「complaint letter」
Dear (名前), client sent a complaint letter regarding the data file you provided.
The letter is attached. Please review his concerns carefully and reply him as soon as possible.
King regards,
Hayden Gallagher
署名が何パターンかあり。
件名「contact information」
Please visit the client tomorrow from the contact information attached.
Make sure you get there on time.
Best regards,
Lindsey Drake
件名「Refund」
Dear (名前), please submit the return form to receive the refund.
The parcel must have its original packaging. The return form is attached in this mail.Best regards,
Christoper Hale
Schenker AG
件名「Travel Itinerary」
Dear (名前)
Thank you for flying with us! We attached the Travel Itinerary for Your booking number #B2B7D71.
See the paid amount and flight information.
Best regards,
Adele Le
Air France
件名「It Is Important」
Dear (名前), we received your invoice but couldn’t pay, because your requisites were invalid.
Sending you the report of the problem – please open the attachment and check the data.
件名「A/C (番号) – Overdue Invoice」
Good Morning,
Please see attached invoice
The balance of £403.71 is overdue for payment, please can you confirm a payment date?
Kind Regards,
DELMAR Wood on behalf of Gail Russell
Credit Services
Macmillan Distribution MDL
Direct Line 0044 1256 302661
Direct Fax 0044 1256 363223
DELMAR.MIDDLEBROOK@macmillan.com
www.macmillandistribution.co.uk
DISCLAIMER: This e-mail is confidential and should not be used by anyone who is not the original intended recipient. If you have received this e-mail in error please inform the sender and delete it from your mailbox or any other storage mechanism. Neither Macmillan Publishers Limited nor Macmillan Publishers International Limited nor any of their agents accept liability for any statements made which are clearly the sender’s own and not expressly made on behalf of Macmillan Publishers Limited or Macmillan Publishers International Limited or one of their agents.
Please note that neither Macmillan Publishers Limited nor Macmillan Publishers International Limited nor any of their agents accept any responsibility for viruses that may be contained in this e-mail or its attachments and it is your responsibility to scan the e-mail and attachments (if any). No contracts may be concluded on behalf of Macmillan Publishers Limited or Macmillan Publishers International Limited or their agents by means of e-mail communication.
Macmillan Publishers Limited. Registered in England and Wales with registered number 785998. Macmillan Publishers International Limited. Registered in England and Wales with registered number 02063302.
Registered Office Brunel Road, Houndmills, Basingstoke RG21 6XS
Pan Macmillan, Priddy and MDL are divisions of Macmillan Publishers International Limited.
Macmillan Science and Education, Macmillan Science and Scholarly, Macmillan Education, Language Learning, Schools, Palgrave, Nature Publishing Group, Palgrave Macmillan, Macmillan Science Communications and Macmillan Medical Communications are divisions of Macmillan Publishers Limited.
件名「Fax transmission: F-(数字)-(数字)-(数字)-(数字).zip」
Please find attached to this email a facsimile transmission we
have just received on your behalf(Do not reply to this email as any reply will not be read by
a real person)
件名「scan paper」
Thanks & Regards,
Therese
Insurance Authority Certificate No:222
Insurance Advisor
Etherese.dunnett@transverity.co.uktherese.dunnett@transverity.co.uk
M +971 56 7185865
M +971 56 4305143
Description: Description: Description: cid:image001.jpg@01D06BC6.31AF40D0
P +971 4 3577997
F +971 4 3577844
そんななか最強なのはGmail
いろいろ紹介しましたが、実はGmailが、ほぼブロックしてくれています。
以下のような内容のメールが届いて、POP受信自体を拒否してくれるんですよね(Gmail側で他サーバーからPOP受信している場合)
XXXX@XXX.jp さんからの “”Emailing: Invoice (5666).doc”” という件名のメッセージに、ウィルスに感染またはその疑いのあるファイルが添付されていました。このメッセージはアカウント XXXX@XXX.jp から取得せずにサーバーに残っています。
Message-ID:
このユーザーに返事を書くには、[返信] をクリックしてメッセージを送信します。ご利用いただきありがとうございます。
Gmail チーム
実は、Gmailで拒否されると元のメールサーバー側に残ってしまい、削除するフローが発生するためどんな迷惑メールが届いてるかわかるんですよね(笑)
ただ万能なものはなく、Gmailでも検知できないスパムもあるので、くれぐれも怪しいメールは開かない、怪しいサイトには近づかないようにしてください。
コメント