ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2016-01-08

日本規格協会を騙ったマルウェア付メールについてまとめてみた

| 01:40 |  日本規格協会を騙ったマルウェア付メールについてまとめてみたを含むブックマーク

2016年1月6日、日本規格協会は同協会を騙ったマルウェア付メールが確認されたとして注意喚起を行っています。ここでは関連情報をまとめます。

公式発表

被害報告

  • 2016年1月8日現在、piyokangoはこの事案に関係している、あるいはしていると推測される被害報告を確認していません。

標的型攻撃メールの詳細

日本規格協会はこのメールを「標的型攻撃メール」と表現しています。

このメールに使用されている文面は注意喚起で次のように記載されています。

ウィルス付きの添付ファイルを添えて当会維持会員への参加を促す内容になっているとのことです。

http://www.jsa.or.jp/info_detail/%E3%80%90%E6%B3%A8%E6%84%8F%E3%80%91%E6%97%A5%E6%9C%AC%E8%A6%8F%E6%A0%BC%E5%8D%94%E4%BC%9A%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E8%A9%90%E7%A7%B0%E3%81%97%E3%81%9F.html

出版事業部 営業サービスユニットの職員をかたり、添付ファイルを添えて維持会員への参加を促す内容になっているとのことです。

http://www.webstore.jsa.or.jp/webstore/Com/html/jp/warning201601.pdf
送信元に関する情報

協会の注意喚起に次の記載があり、複数の送信手段が用いられている可能性があります。「実在の会社」がどこかは不明です。

この電子メールは、フリーメールまたは実在の会社から送信され、

http://www.webstore.jsa.or.jp/webstore/Com/html/jp/warning201601.pdf

また、FROM記載のメールアドレス協会ドメイン(jsa.or.jp)に詐称しているのか次の記載がありますが、具体的な送信元のアドレスは同協会からは示されていません。

発信元を日本規格協会メールアドレスに詐称して送信され、

http://www.jsa.or.jp/info_detail/%E3%80%90%E6%B3%A8%E6%84%8F%E3%80%91%E6%97%A5%E6%9C%AC%E8%A6%8F%E6%A0%BC%E5%8D%94%E4%BC%9A%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E8%A9%90%E7%A7%B0%E3%81%97%E3%81%9F.html

添付されているマルウェア

濱田さんのつぶやきから。

検体情報

53555938742c97ff01f9a7f8d6f15587に該当する各種エビデンスは次の通り。

添付ファイル名

Virustotalよりファイル名には次の名称が用いられていた可能性があります。これは先ほどの協会から発信された注意喚起とも合致する内容です。

(申込書)一般財団法人日本規格協会 維持会員規程 維持会員制度ijikaiin_application.doc.exe

協会の「会員制度のご案内」には「維持会員加入申込書」のリンクが張ってあり、このリンク先にはPDFファイル「ijikaiin_application.pdf」とあり、先のファイル名の一部と合致します。ファイル名や文面のほか、もしデコイを使用しているのであれば、これらはこのページに記載されている情報を参照している可能性があります。

偽装アイコンを使用

Wordファイル(2003以前?)のアイコンを偽装した実行ファイルです。

f:id:Kango:20160109013517p:image

マルウェア通信

このマルウェア通信先は次のイギリスホスティング事業者(Layershift)のドメインです。

jsacsd[.]j[.]layershift[.]co[.]uk (443ポート)

このドメインは意図したものかは不明ですが、赤文字で示しているように、日本規格協会略称JSA」が含まれています。

なお、このドメインへWebからアクセスすると凍結されているとの表示がされます。

f:id:Kango:20160109013519p:image:w550

またVirustotalでこのURLを検索した際、最初に投じられた日付は半月以上前の昨年12月18日となっていました。先月もこのメールを送ったグループの活動が確認されていたのかもしれません。

f:id:Kango:20160109013518p:image

更新履歴