PDFが添付された不審な英文メールが届きました。
しかも、差出人も偽装されていました。
添付されたPDFはマルウェアの危険もあります。
しかし、慎重にウイルスチェックをしても問題が検出されませんでした。
念のため、メール・ファイルは閲覧せず削除しました。
1. 不審なメールと添付PDF
メール受信箱に、不審な英文のメールが届いていました。
添付ファイルに PDF もあります。
件名は、「Request For Quotaion / Urgent Supply(見積依頼・緊急納品)」、
差出人は、「Unilever Australia & New Zealand <no_reply@kelloggsupplies.com>」と書かれています。
見積依頼・緊急納品
私たちのプラントメンテナンスのための可能な供給と配達のために入札するためのGlobal Open e-tenderのベンダー登録とパートナーシップのために招待しています.
どうも、海外企業のベンダー登録についての招待メールのようにも読めます。
「ベンダー」は「販売業者」のことです。
2. PDFマルウェア?
WordやExcel のマクロ付きファイルが、マルウェアの危険があるのはよく聞くけど、PDFでもそういうことはあるの?
実は、添付PDFでもマルウェアの場合があります。
PDFも、内部にJavaScriptでプログラムを埋め込むことができるので、開いたときに悪用される危険があるのです。
JavaScriptは、セキュリティの設計上 そこまで勝手なことができないので、より悪用しやすいマクロ文書を開かせようとしているのです。
PDFビューワー(Acrobat Readerなど)では、「設定」で JavaScriptの使用を無効にできます。
2-1. ウイルスチェック(VirusTotal)
念のため、2つのpdfがマルウェアなのか検証してみました。
開かないように注意しながら、VirusTotal にアップロードしました。
ふつうは真似しないでね。
まず、「HT4HHP SE7 Specification(1).pdf」の結果を見てみます。
マルウェアの検出はありませんでした。
No security vendors and no sandboxes flagged this file as malicious
しかも、はじめてのアップロードされたファイルだった(2023-03-27)ようです。
「RFQ DOCUMENT EXT.pdf」についても結果を見てみます。
こちらもマルウェアの検出はありませんでした。
ただし、こちらは「4日前(2023-03-22)」にすでにアップロードされていたファイルでした。
ほかにも不審に思って調べていた人がいたんだね。
2-2. PDFのファイル情報
PDFにはファイル情報が残っているので、一応 確認してみました。
すると、片方は CorelDRAWで作成されたもので、もう片方は Microsoft Word 2013でした。
2つのファイルは、別々に作られたもののようです。
Word作成のPDFには、作成者情報もありますね。
3. 受信元ドメインは怪しい?(heg.com)
添付ファイルはマルウェアではなさそうなので、メールヘッダーを確認しました。
すると、差出人・返信先・受信元がいずれも違うドメイン名になっていました。
実際に、メールが送信されたのは、heg.comのメールサーバだと考えられます。
しかし、heg.comにアクセスしようとしたところ、どうも自動的にリダイレクトされてしまいました。
よく偽サイトなどは、有名なサイトにリダイレクトするようになっているので、それかもしれません。
とりあえず、ここまでわかったので、いったんメール・ファイルは削除しました。
なんとなく開いて中身を確認するのは、気が引けます。
何を目的にしているかよくわからないけど、やっぱり怪しさが残るね。
ただの投資詐欺みたいなもののかな?
こちらもどうぞ。