ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2015-10-27

トーケンや日東印刷、サーブコープをなりすましたスパムメールをまとめてみた

| 02:10 |  トーケンや日東印刷、サーブコープをなりすましたスパムメールをまとめてみたを含むブックマーク

2015年10月27日頃より、株式会社トーケンや日東印刷株式会社からの請求やサーブコープのFAX通知を偽装したスパムメールが確認されています。ここでは関連情報をまとめます。

公式発表

トーケンや日東印刷(同名の会社)よりなりすましメールに関する注意喚起が掲載されています。

株式会社トーケン

※ 架空メールにつきまして

 

2015年10月27日

弊社を名乗り「請求書」という内容で架空メールが多数の方に送られているようですが、弊社からそのようなメールを送った事実もなく一切関係ありません。

現在、原因調査中ですが、このようなメールを受け取られた方は、添付ファイルを開かず、削除していただくことが良いと思われます。どうぞご注意ください。

 

【追記】2015年10月28日

弊社の名前を語り、多数の方に架空メールが送信されたことについて、弊社が契約しているサーバー管理者に確認したところ、弊社サーバーへの不正アクセスはなく、弊社サーバーからメールが送信された形跡も一切関係ありませんでした。

メールに添付されていたWordファイルについては、インターネットバンキングに係る不正送金を目的としたウイルスであることが警察への相談で判明しました。同メールを受信した場合、ファイルを開かず削除するようにとのことでした。

今後、警察からも注意喚起のため、情報が発信されるとのことですので、ご確認のうえ、ご注意ください。

http://www.token-web.com/

f:id:Kango:20151028010916p:image:w450

日東印刷株式会社

弊社になりすました虚偽メール(ウィルス付)配信の件

 

平素より格別のお引き立てを賜り、誠にありがとうございます。

さて、平成27年10月27日朝方より、弊社名を名乗り、件名「請求書」等の虚偽の内容のメールが何万通も配信されました。

 

当初、不正アクセスを疑い、アカウントを停止いたしましたが、調査の結果不正アクセスの事実はなく、別のサーバーから弊社に

なりすまして配信していることが判明しました。

 

すでに警察に被害届を出し、28日現在配信は止まっているようですが、未知の相手の悪意を止める方法がないのが現状です。

 

弊社になりすました虚偽のメールが届いている場合は、開かないで直ちに削除してください。

また、万一開いてしまった場合はウィルス対策ソフト等で駆除されることをお勧めします。

 

平成27年10月28日

日東印刷株式会社

新井 勇司

http://nitto-pri.co.jp/

f:id:Kango:20151029125209p:image:w450

株式会社日東印刷(なりすまされた日東印刷株式会社と類似した名前の会社)

『日東印刷株式会社』をかたった架空請求につきまして

弊社商号(株式会社日東印刷)に類似した会社名を名乗った架空請求メールが送付されていることを複数確認いたしました。

弊社では電子メールを使用したご請求はしておりません。

このようなメールは、弊社と関わりがございませんことをお伝えいたしますとともに、受け取られた皆様には、ご注意いただきますようお願いいたします。

http://www.net210.co.jp/corporate_profile.html

f:id:Kango:20151028011016p:image:w360

SERVCORP

解析記事

受信した方やセキュリティベンダより、メールの内容やその脅威について解析した記事が公開されている。

送付されるスパムメール

  • 解析記事や有志の報告によれば27日時点で3種類のスパムメールが確認されている。
  • のっとられた可能性についても言及している記事があったが、確認した範囲では発信元の詐称にとどまり、実際の発信元は海外のサーバーであった。
確認されたスパムメールの例
No件名発信元詐称ドメイン発信元IPアドレス添付ファイル
1タンケンー請求書(小)の件です。nitto-pri.co.jp200[.]188[.]132[.]28
この他ベトナムIPという情報あり
10280.doc
2請求書token-web.com189[.]208[.]143[.]1262610-099189.doc
3ファックス受信完了: Fax Receivedservcorp.co.jpボリビアIPという情報あり2F4A8C1B-9DB6-4749-AA9C-9ED67A419132-574-IF.doc
No.1のメール本文(一部マスク)

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

〒210-****

神奈川県川崎市川崎区浅田*–**–**

日東印刷株式会社

** **

TEL:044-355-**** FAX:044-355-****

MAIL

****:****_****@nitto-pri.co.jp

    日東印刷:sales@nitto-pri.co.jp

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

http://eflat.jp/blog/?p=3305
No.2のメール本文(一部マスク)

おはようございます。

請求書の件申し訳ありませんでした。

訂正しましたので、宜しくお願い致します。

*********************************

株式会社トーケン小松本社

管理本部総務部 **

923-0908 小松市浮城町76-1

TEL 0761-21-8818 FAX 0761-21-4078

e-mail **-*****@token-web.com 

     *********-*@token-web.com

*********************************

No.3のメール本文

Pages Received : 1

Time Received : Monday, October 27, 2015 05:55:11 AM Japan Time

Duration : 35

Remote CSID : 06 6252 3155

DID : 9145545

http://www.cis.kit.ac.jp/Notices%252F20151027%252D0001

添付されたマルウェア

Downloader(Wordファイル)
Noファイル名SHA256実行後通信
1-110280.doc9d32e5a93587ee50d5692839cfb213bdd17eb4e10b5805d76a5af447311c964eblogabp[.]y0[.]pl
(95[.]211[.]144[.]65:80)
1-29d32e5a93587ee50d5692839cfb213bdd17eb4e10b5805d76a5af447311c964eblogabp[.]y0[.]pl
(95[.]211[.]144[.]65:80)
1-382f29e0dab17ef02433b2e85911f366652ef08e10d466fd08b4fc3c58a068f00xn--ysand-uua[.]no
(195[.]249[.]40[.]100:80)
22610-099189.doc2060c6e7b2e94d7fa58f5e24c246b7820cc6ec68a3ea19c22db764bf5be55594copie-nord-2[.]com
(46[.]31[.]193[.]113:80)
32F4A8C1B-9DB6-4749-AA9C-9ED67A419132-574-IF.doc4d2791a12fdb8801a7fa359a1dfd19cc9d01d9834ab44e8980dd883370e11b70evolvebuildinggroup[.]com
(117[.]55[.]224[.]65:80)
Payload(Shiz本体)
Noファイル名SHA256実行後通信
1d243ty.exe(drawhor4.exe)6392d70ba840a221774dd8c03941701963896b74fc5c112ef94be98abd9f4eefanaliticworld[.]com
(43[.]251[.]159[.]9)

接続先調査

トップページへアクセスした結果

evolvebuildinggroup[.]com

f:id:Kango:20151028020329p:image:w450

copie-nord-2[.]com

f:id:Kango:20151028020505p:image:w450

xn--ysand-uua[.]no

f:id:Kango:20151028020102p:image:w450

blogabp[.]y0[.]pl

接続できず。

f:id:Kango:20151028020614p:image:w450

謝辞

このまとめは次の方の調査協力を受けて作成しています。ありがとうございます。

  • @ntsujiさん
  • AJさん

更新履歴

  • 2015年10月28日 AM 新規作成
  • 2015年10月28日 AM FAX通知偽装のメール本文を追加
  • 2015年10月29日 PM 日東印刷の発表を追加

*1:当初Dridexとして検出されていたが、後にShizへ変更された模様