【スポンサーリンク】

よくわからない PDF が英文メールで送られてきた【PDFマルウェア?】

よくわからない PDF が英文メールで送られてきた【PDFマルウェア?】

PDFが添付された不審な英文メールが届きました。
しかも、差出人も偽装されていました。

添付されたPDFはマルウェアの危険もあります。
しかし、慎重にウイルスチェックをしても問題が検出されませんでした。

念のため、メール・ファイルは閲覧せず削除しました。

\記事が役に立ったらシェアしてね/
免責事項

なるべく正確な情報になるよう努力していますが、個々のPC/スマホにより状況は異なり、結果の保証はできません。
操作の際には、十分に注意の上、ご自身の判断と責任で行っていただくようお願いいたします。

【スポンサーリンク】

1. 不審なメールと添付PDF

メール受信箱に、不審な英文のメールが届いていました。
添付ファイルに PDF もあります。

件名は、「Request For Quotaion / Urgent Supply(見積依頼・緊急納品)」、
差出人は、「Unilever Australia & New Zealand <no_reply@kelloggsupplies.com>」と書かれています。

不審なメールと添付PDF

見積依頼・緊急納品

私たちのプラントメンテナンスのための可能な供給と配達のために入札するためのGlobal Open e-tenderのベンダー登録とパートナーシップのために招待しています.

どうも、海外企業のベンダー登録についての招待メールのようにも読めます。

「ベンダー」は「販売業者」のことです。

2. PDFマルウェア?

PDFマルウェア?

WordやExcel のマクロ付きファイルが、マルウェアの危険があるのはよく聞くけど、PDFでもそういうことはあるの?

実は、添付PDFでもマルウェアの場合があります。

PDFマルウェア?
添付PDFがマルウェアになるパターン
  • PDFファイルにJavaScriptを埋め込む
  • 実行形式のファイルをPDFに見せかける
  • PDFのビューワーソフトの脆弱性を悪用する

PDFも、内部にJavaScriptでプログラムを埋め込むことができるので、開いたときに悪用される危険があるのです。

PDFマルウェア?

JavaScriptは、セキュリティの設計上 そこまで勝手なことができないので、より悪用しやすいマクロ文書を開かせようとしているのです。

PDFビューワー(Acrobat Readerなど)では、「設定」で JavaScriptの使用を無効にできます。

PDFマルウェア?

2-1. ウイルスチェック(VirusTotal)

念のため、2つのpdfがマルウェアなのか検証してみました。
開かないように注意しながら、VirusTotal にアップロードしました。

ウイルスチェック(VirusTotal)
ウイルスチェック(VirusTotal)

ふつうは真似しないでね。

まず、「HT4HHP SE7 Specification(1).pdf」の結果を見てみます。

VirusTotal – File – 13e1813dc793f81e2af241893ac8c9cf24d8d119235419cb7c269826757a5966
VirusTotal – File – 13e1813dc793f81e2af241893ac8c9cf24d8d119235419cb7c269826757a5966

マルウェアの検出はありませんでした。

No security vendors and no sandboxes flagged this file as malicious

しかも、はじめてのアップロードされたファイルだった(2023-03-27)ようです。

「RFQ DOCUMENT EXT.pdf」についても結果を見てみます。

VirusTotal – File – 1e0c844a81f333335e7732915587c9308c368b41a1df0203481e319051f24c6d
VirusTotal – File – 1e0c844a81f333335e7732915587c9308c368b41a1df0203481e319051f24c6d

こちらもマルウェアの検出はありませんでした。
ただし、こちらは「4日前(2023-03-22)」にすでにアップロードされていたファイルでした。

ウイルスチェック(VirusTotal)

ほかにも不審に思って調べていた人がいたんだね。

2-2. PDFのファイル情報

PDFにはファイル情報が残っているので、一応 確認してみました。

すると、片方は CorelDRAWで作成されたもので、もう片方は Microsoft Word 2013でした。

PDFのファイル情報

2つのファイルは、別々に作られたもののようです。

PDFのファイル情報

Word作成のPDFには、作成者情報もありますね。

3. 受信元ドメインは怪しい?(heg.com)

添付ファイルはマルウェアではなさそうなので、メールヘッダーを確認しました。

すると、差出人・返信先・受信元がいずれも違うドメイン名になっていました。

メールヘッダーにあった3つのドメイン
  • kellogsupplies.com
  • santos-etender.com
  • heg.com
受信元ドメインは怪しい?(heg.com)

実際に、メールが送信されたのは、heg.comのメールサーバだと考えられます。

しかし、heg.comにアクセスしようとしたところ、どうも自動的にリダイレクトされてしまいました。

受信元ドメインは怪しい?(heg.com)

よく偽サイトなどは、有名なサイトにリダイレクトするようになっているので、それかもしれません。

受信元ドメインは怪しい?(heg.com)

とりあえず、ここまでわかったので、いったんメール・ファイルは削除しました。

なんとなく開いて中身を確認するのは、気が引けます。

受信元ドメインは怪しい?(heg.com)

何を目的にしているかよくわからないけど、やっぱり怪しさが残るね。

ただの投資詐欺みたいなもののかな?

こちらもどうぞ。

YouTube動画を鵜呑みにするとマルウェアに引っかかることも…【AI生成された架空アクター】
YouTube動画を鵜呑みにするとマルウェアに引っかかることも…【AI生成された架空アクター】
「ただで有料ソフトが使える方法」といってマルウェアをインストールさせる「偽動画」が YouTubeに増えています。 一見 人が出演して説明しているので信憑性が高く見えても、AI生成された架空の人物のことも。 うまい話にはご用心です。 YouTubeに限らず、すでにインターネットにはこのような偽情報はたくさん出回っています。 やっぱり、ズルはダメなんだね。 ただより高いものはない アプリケーションソフトや音楽・動画ファイルなど、本来 対価が発生するものを、タダで手に入れようとす...
セキュリティソフトは入れた方がいいの?【目的による】
セキュリティソフトは入れた方がいいの?【目的による】
セキュリティのマカフィーについてお聞きしたいのですが、入れておいた方がいいのでしょうか? 結論から言うと「絶対ではなく、目的次第」だと思います。ウイルス対策としての機能は、すでに基本システムで十分だからです。 ただ、セキュリティソフトには、他に通信の保護や偽サイトの警告などの「便利な機能」があります。それらの機能を利用するなら、意味があると思います。 セキュリティソフトが有効な場合 仕事などで 公衆Wi-Fi からインターネットを利用することが多い(VPN)。 インターネット...
iPhoneで迷惑メールを開くだけでウイルス感染するって本当? 【ゼロデイ攻撃とアップデート】
iPhoneで迷惑メールを開くだけでウイルス感染するって本当? 【ゼロデイ攻撃とアップデート】
iPhone のメールを開くだけで マルウェア(悪いアプリ)が入ってくることは、まず ありません。 確かに、政府機関や大企業など、サイバー攻撃の対象になるような場合は 気をつける必要があります。 しかし、通常 個人の iPhoneであれば、そのような心配は少ないです。定期的にアプリの更新をしていれば、対処としては十分です。 もちろん、迷惑メールは開かないに越したことはありません。それは、「ウイルスに感染した!」などと嘘の表示をしてくることが多いからです。ここで慌てて 偽のセキ...
QRコードを読み込むと、関連記事を確認できます。

よくわからない PDF が英文メールで送られてきた【PDFマルウェア?】
【スポンサーリンク】
タイトルとURLをコピーしました