危険が危ない！

 

(ヒィィ…)

 

 

朝起きてメールを確認したら

 

 

 

拝啓 配達員が注文番号270938392544の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。このメールに添付されている委託運送状を印刷して、最寄りの日本郵政取り扱い郵便局までお問い合わせください。 敬具 日本郵政ジャパンの宛先： 〒108-1712 東京都港区芝浦4-13-23 MS芝浦ビル13F 日本郵政 3/6/2016     22:55:59

 

こんな内容のメールが…

 

今は韓国に戻っていますが2014年日本から韓国に帰国するさい国際郵便を利用したことがあったのですが

 

その時に発生した問題がいまさら！？っていう感じで少し驚きましたねー

 

でもその時の荷物はちゃんと全部届いたわけでもう２年も前のことだから普通に考えれば…笑

 

まーここは騙されたと思って進んでみましょう

 

日本郵便個別番号の追跡 URL : https://trackings.post.japanpost.jp/services/srv/search/input

 

 

STEP 01. まず、郵便番号の確認

 

< Fig 1-1.日本郵便サイトからの郵便番号の追跡画面 >

 

すでに例に書いてある国際郵便物番号の形式と少し違うのですが…

 

まー一応、こんな感じで入力して追跡スタート!!

 

 

< Fig 1-２. 郵便番号の追跡結果の画面 >

 

やはりないですよねー

 

では、先のメールにあった怪しい添付ファイル確認してみましょう

( 興味がない方はSTEP 04へ )

 

 

STEP 02. 添付ファイルは一体？

 

 

< Fig 2-1.メールに添付されたファイル >

 

ここからはパソコンが壊れる可能性があるため絶対真似しないでください

 

まず、添付ファイルをダウンロードしZIPファイルを解凍しました

 

すると

 

 

< Fig 2-２.添付されたファイル(ZIP)を解凍した結果 >

 

このようなファイルが…

 

このファイルの中身を確認すると

 

< Fig 2-3.悪性スクリプトの中身(1) >

 

こんな感じの内容が…

 

でも、これだけだと怪しいとは思えるのですがウィルス類とは少し見え難いですねー

 

少しスクロールを下ろすと

 

< Fig 2-4.悪性スクリプトの中身(2) >

 

赤い部分のコードところのあれが悪性スクリプトと推測されるものです。

 

暗号化されているため一般的には見れないですが

 

これを解読すると

 

 

< Fig 2-5. 悪性スクリプトの中身を解読した後のスクリプト >

 

こんな感じで

 

あるサイトにアクセス(open)しダウンロード(SaveToFile)し起動(Exec)

 

こんな感じで作動します

 

ではダウンロードしたファイルが起動したら一体？

 

 

STEP 03. スクリプトによってダウンロードされたファイルは一体？

 

結論からいいますと残念ながら「URLが切れていたのでこれ以上は分析できません」でした(T-T)

 

これから分析の過程を簡略的に話しますと

 

すでにあのサイトがハッキングされてる可能性があるので正常な方法であのサイトにアクセスするのはとても危険です。

 

サイトにアクセスしただけでウィルスに感染される恐れがあるため

 

ここは他の方法でアクセスする必要があります。

 

< Fig 3-1. 悪性コードと推測されるファイルのダウンロード >

 

さあーこれでスクリプトの中身にあったダウンロードしようとしたファイルをダウンロードしました

 

では、中身を少しだけ覗いてましょう

 

< Fig 3-2. 悪性コードの中身 >

 

< Fig 3-3. 悪性コードのURLからまたファイルのダウンロード >

 

あるURLからファイルをダウンロードしまた起動しようとするのですが

 

この先はURLのアクセスできなかったため分析できませんでした

 

STEP 04. 安全策は？

 

 

* 信用できない、知らない相手からのメールは開けないまた添付されたファイル等はダウンロード禁止

 

* 郵便番号とかの情報が書いてる場合、サイトのサービスから検索＆確認するか直接電話して確認

 

* 周りにパソコンに関して詳しい人に聞いてみる

 

くらいでしょうか

 

 

STEP 05. あとがき (?)

 

探してみたら

 

発表日：2015年12月18日
タイトル：日本郵政を装った迷惑メールについて

http://www.japanpost.jp/information/2015/20151218114836.html

 

すでに日本郵政からも載っていました笑

 

最近、多いですよね、こういうの

 

さて、つまらない文を読んでいただきありがとうございます！

 

みんな気をつけましょう！