読者です 読者をやめる 読者になる 読者になる

treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

携帯電話(キャリアメール)宛てに変なメールが来た

今日は(たぶん)ウィルスメールについてご報告します。

携帯に以下のような不審なメールが来たところから話は始まります。

こんなメールです

ちなみに私のiモードメールはヘッダ表示するように設定していますが、通常は表示されません。なのでこのメールの本文は空白の本文なしメールとなります。

f:id:treedown:20160509005234j:plain

f:id:treedown:20160509005234j:plain

文末に添付ファイルは「TICKET-T62308695」とあります。(携帯では拡張子は見えない)
メールヘッダはこんな感じです。
----------------------------------------------
- mail header -
Authentication-Results: docomo.ne.jp from=Anibal218@gmail.com; sender-id/spf=softfail
Received: from static.vdc.com.vn ([113.165.167.15])
by mfsmax.docomo.ne.jp(DOCOMO Mail Server Ver2.0) with SMTP id 1e6d008557054af7b132
for <%MyMailAddress%>; Fri, 06 May 2016 09:46:18 +0900 (JST)
MIME-Version: 1.0
Date: Fri, 06 May 2016 07:46:15 +0700
Message-ID: <04D46AA7155581D5F8894B8AC01E83782C3A413C3@docomo.ne.jp>
Subject: Ticket
From: Debbie packer-doust <Anibal218@gmail.com>
To: %MyMailAddress%@docomo.ne.jp
Content-Type: multipart/mixed; boundary=cf76ea675bf4f4115b1f773d6c39
----------------------------------------------

このメール細心の注意を払ってPC側にメールを転送して、検査用のPCでそのメールから添付ファイルを確認してみました。
 ファイル名は⇒TICKET-T62308695.zipとあります。zipファイルのようです。

これはなんだ?

おそらくこの.zipファイルを解凍すると.exeファイルが出現してその.exeファイルが悪さするウィルスだ、というオチのやつですね。最近流行りで以前PC側で受信したやつです。

blog.treedown.net

でも送り付けられてきているのはiモードアドレス、つまり携帯のキャリアメールアドレスなんですよね…。これ意味あるのかしら?

私が使っているのはiモード携帯、いわゆるガラケーってやつです。ここで.zip形式に偽装して.exe(ないし.jsの)ファイルを送り込まれてきたとしても、全く動作しないんじゃないか?とは思います。動作しないと思うから、といってもむやみにクリックしたりは怖くてできませんでしたが。

正体不明具合が恐ろしかったので検査用のPCに添付ファイルを移してNortonとウィルスセキュリティゼロの二製品で.zipファイルを検査してみました。
検査結果は、「ウィルスは発見されませんでした。」と表示されてセキュリティの脅威なし、という結果になりました。.zipファイルの状態ではウィルスのコードは検出できないようですね。やっぱり解凍しないとウィルスとしては検出してくれないんでしょうか。でも怖くて解凍できないです。調べるのはこの辺で止めておきます。
メール自体が怪しいから絶対ウィルスだと思うのですが、ウィルス対策ソフトは「ウィルスじゃない」と言ってます。

その夜…

そうして朝受け取った不審なメールのことをすっかり忘れていたら、夜にもう二通別パターンでメールがきました。

f:id:treedown:20160509005625j:plain

f:id:treedown:20160509005637j:plain
今度は…
「Subject: scan」となっていて、本文が空白でなく「Sent from my Samsung device」と記載があります。添付ファイルはscan.docmというファイル名が送られてきました。
二通目も同じような感じです。

f:id:treedown:20160509005706j:plain

f:id:treedown:20160509005715j:plain

送信元が違うだけで、これも同じパターンだ、きっと。

もちろん添付ファイルはおっかなくて開くことはできません。

皆さんもウィルスメールにはくれぐれもお気を付けください。