郵便配達の連絡を装ったウイルスメールが急増、楽天をかたるパターンも、狙いは国内のネットバンキング

　日本郵政をかたった不審なメールが2月14日ごろより急増しているという。トレンドマイクロ株式会社や株式会社シマンテックでは、添付ファイルを開くことでマルウェアに感染する恐れがあるとして注意を呼び掛けている。

日本郵政を偽装した不審なメールのサンプル

　日本郵政株式会社と日本郵便株式会社の16日付発表によると、メールの差出人欄には、部分的に「JAPAN POST」あるいは「日本郵政」と表示され、「配達員が注文番号●●●●の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。」といった、配達に関する連絡を装った内容になっている。

　この手のメールは、2015年12月にも確認されていたが、2月15日には「不審なメールが届いた」という問い合わせが1日に300件を超えるなど急増しており、改めて注意喚起を行った。

　トレンドマイクロによると、メールにはZIP形式で圧縮されたファイルが添付されており、解凍すると「郵便局 - 日本郵政_お問い合わせ番号_●●●●から 100通_FDP.SCR」といったファイル名のプログラムが出現。このプログラムはHTTPS通信を行い、都市銀行や地方銀行、信用金庫などを含む国内30のネットバンキングを狙うオンライン銀行詐欺ツール「Trojan.Cidox（別名：Rovnix）」をダウンロードする。

添付ファイルを解凍して現れたプログラムを実行すると、実在するルート証明書に偽装した証明書をPCにインストールする。通常、証明書のインストールには警告ダイアログが表示されるが、このプログラムは自動で「はい」を押して、ユーザーの操作なしにインストールが完了してしまう

　メールの送信元には、ロシアのフリーメールのアドレスが使用されており、同一のフリーメールを使用した日本向けスパムの送信事例を2015年末から継続して観測しているという。トレンドマイクロでは2月14日～18日の間に、不審なメール経由で拡散した不正プログラムを国内で2800件以上検出している。

　シマンテックでは、郵便配送のほか、融資、人事、オンラインショッピングサービスを装った同様の手口も確認している。その中には「Rakuten（楽天）」から送信されたように偽装するメール（サンプルでは『Racuten』とスペルミスしている）も確認されており、Trojan.Cidoxをダウンロードする不正なプログラムが添付されていたという。

「Rakuten（楽天）」をかたるスパムメールだが、「Racuten」とスペルミスしている