怪しい添付ファイルウィルスを見抜く方法-メールの限界

となりの上司が変な添付ファイル開いてた

隣の席に座る上司が、おもむろに電話をし

「こんなメールがきたんだけど、添付ファイル開こうと思って実行したけど、開けない。違うような気がするんですけど送られましたか?」

的なやりとりが。

「やっぱりおかしいと思ったんですよ。送られていなかったら大丈夫です。」

と言ってました。

いやいや、大丈夫じゃないよ。実行したんでしょ。

調べてみた

実際どんな添付ファイルだったのか。

zipファイルでした。

右クリックして、WindowsDefenderでスキャンしてみたところ、

ウィルスは発見されませんでした。

1つのファイルだけ無料オンラインスキャン

Microsoft 標準のWindowsDefenderだとちょっと不安も残るので、無料オンラインスキャンも試してみました。

パソコン全体的にスキャンしてくれるやつだと時間もかかってしまうので、できれば1つのファイルだけスキャンしてくれるものがいいなと探してみたら

Google 傘下のVirusTotalにて、複数のアンチウィルスエンジンにてスキャンしてくれるサービスがありました。とっても便利です。

名だたるアンチウィルスソフトベンダーを一挙にスキャンしてくれます。

メールのシグネチャをたどって

メールのソースを表示させて、どの経路できたのかをたどってみました。

Received: from [102.222.235.111] (unknown [102.222.235.111])
	by zimbra1.kinez.co.id (Postfix) with ESMTPSA id D3D56D07B5B
	for <hoge@hogehoge>; Thu,  3 Mar 2022 18:08:13 +0700 (WIB)

送信元のコンピュータIPアドレスは 102.222.235.111 です。

最近Whois検索させてもらってるのは、 CMAN さんです。

inetnum:        102.222.235.0 - 102.222.235.255
netname:        PPPOE-NATTED-BLOCK2-FTTH
descr:          DYNAMIC NATTED BLOCK2 FTTH
country:        UG   → (ウガンダ)
admin-c:        RK48-AFRINIC
tech-c:         ZM17-AFRINIC
status:         ASSIGNED PA
mnt-by:         KSCL1-MNT
source:         AFRINIC # Filtered
parent:         102.222.232.0 - 102.222.235.255

ウガンダにあるパソコンから送られたようで、確実に迷惑メール、ウィルス系だと判明。

さらに、メールサーバは、

zimbra1.kinez.co.id (Postfix)

から、

id (IANAトップドメイン情報)

Indonesia インドネシア

インドネシアドメインのサーバでした。

やれやれ。

メール限界

これ防ぐことができるんでしょうか。

かなり本腰入れて、メールサーバ側か、もしくは何かゲートウェイ的なものをいれないと防げないようにおもいました。

WADAXのメールなら、ウィルスチェックしてくれるのかなと思うんですけど

パスワード付きZIPだと防げないかも