「るるぶトラベル」騙るメール添付ファイルのウイルスに感染していないか確認する方法について

るるぶトラベルになりすましたメールについて、るるぶトラベル自体が、自身の公式サイトにて次の通り、「Dreambot」への感染に注意を促しています。

弊社で確認できた「なりすましメール」は、添付ファイルが「Dreambot」と言われるマルウェアに感染している可能性があることが分かりました。
参照元：https://rurubu.travel/admin/help/20170515.pdf

※マルウェア：一般によく「（コンピューター）ウイルス」と呼ばれているものは、もう少し専門用語的に正確に言えば「マルウェア」が正しい呼び方だったりします。ここで出てくる「マルウェア」はまさにそれなので、「ウイルス」と読み替えてみてください。

このPDFの最後には、

「日本サイバー犯罪対策センター（JC3）」のサイトで、「Dreambot」に感染をしたかのチェックができますので、ご参照ください。

と書いてあります。

そこで、提示されているJC3のURLから、該当する「感染したのかチェックできる」ページをたどってみると、次のページから、「Dreambot」に感染しているかどうか確認できることが分かりました。

• DreamBot・Gozi感染チェックサイト｜一般財団法人日本サイバー犯罪対策センター

このチェックサイトに、利用しているブラウザすべてからアクセスして、「感染チェック」ボタンをクリックしてみてください。

感染している場合、次のページが表示される模様です。

このチェックサイト自体に、そのウイルスを駆除する機能はありませんが、駆除する方法として、次のページが案内されています。

• TSPY_URSNIF.GGQA | 危険度： 低 | トレンドマイクロ：セキュリティ情報

ただし、あまり簡単な手順ではないため、実際に感染していることが確認された場合には、そのパソコンの利用を中止し（電源を切る・インターネットから切断する）、一度詳しい人に相談した方が良いかと思います。

「ウイルスに感染しているのかチェックできるとはどういうサイトなのだろう」というところが一番最初に気になりました。

チェックサイト自体は「/info/dgcheck/check.html」にアクセスしてから、JavaScriptで判定し、感染している場合は「infected.html」、感染していない場合は「notinfected.html」に振り分ける、という挙動のようでしたが、そのJavaScriptの内容自体は難読化されており、一見内容が分からない状態です（※今書いたこの段落の文章の雰囲気ほど、単純な作りではなさそう）。

とりあえずJavaScriptを実行（してそこで何かいろいろ）することで判定している、ということは分かったので、改めてDreambotがどんな活動をするマルウェアなのかを確認してみることにしました。

Dreambotについて解説したトレンドマイクロのページによると、

「DreamBot」は、既存のオンライン銀行詐欺ツールである「URSNIF（アースニフ）」（別名：Gozi）の不正コードを改造して作成されたと考えられる新たな亜種です。ネットバンキングの認証情報詐取のための Webインジェクションなどの活動に関しては、「DreamBot」とこれまでの「URSNIF」との間に大きな相違はありません。 （引用元）

と書かれていました。

このことから、銀行などのサイトを書き換えて、認証情報を盗み出すタイプのマルウェアであるため、ブラウザ内で不正な書き換えを行うマルウェアの機能を、JavaScript内で存在確認し、「感染チェック」を実現しているということが想像できました。

確かにこういうタイプのマルウェアであれば、ブラウザ上で存在確認することも可能そうです。納得。

たまたまこういうタイプだからうまく作ることのできる「ウイルスチェックサイト」ですが、感染確認のハードルを下げて被害を減らすのに役立っていそうです。