ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2018-05-31

日本経済研究所のなりすましメールについてまとめてみた

| 04:58 |  日本経済研究所のなりすましメールについてまとめてみたを含むブックマーク

2018年5月31日、日本政策投資銀行がグループ会社の日本経済研究所になりすました不審なメールが確認されたとして注意喚起を行いました。ここでは関連する情報についてまとめます。

日本政策投資銀行の注意喚起

当行グループ会社である株式会社日本経済研究所の職員を詐称してマルウェアウイルス等が添付ファイルで送りつけられるケースが発生しております。

 発信元や内容に心当たりのないメールを受信された場合は、ウイルス感染不正アクセスなどの危険がありますので、添付ファイルを開かずに、また、メール本文中のリンク先URLをクリックせずに、メールごと削除していただくようお願いいたします。

日本経済研究所のなりすましメール

調べてみたところ、2018年5月末に日本経済研究所の名前を使って次のメールが送信されていることを確認しました。

なりすましメールの情報を整理すると次の通りです。

確認したメール受信日2018年5月30日(水)9時頃
差出人名有り
FROMアドレス **********@jeri.co.jp
件名中国投資概況更新
本文**様


大変お世話になっております。

株式会社日本経済研究所の**と申します。

突然のご連絡で恐れ入りますが、本日は、弊社の親会社中国投資概況資料につき、更新しましたので、別添にてご案内致します。

(パスワードは弊社小文字4文字です。)

また、ご不明な点などございましたら、ご連絡くださいませ。

以上、よろしくお願いいたします。



**

***********************************************

? 日本経済研究所 国際本部 国際第二部

** **

TEL:(03)6214-**** FAX:(03)6214-****

E-mail:**********@jeri.co.jp

〒100-0004 千代田区大手町1-9-2

大手町フィナンシャルシティ グランキューブ15階

***********************************************
添付ファイル有り(中国_投資概況.zip

添付ファイル「中国_投資概況.zip

  • なりすましメールにはZIPファイルが1つ添付されていました。
  • ZIPファイルはパスワードによる保護がかけられていましたが、なりすましメールの文中にある通り、「jeri」の4文字で展開できました。
  • 展開後は「中国投資概況.ppsx」といった名前でスライドショー形式のパワーポイントのファイルが展開されました。
  • ファイルの中身は日本政策投資銀行の資料に見せかけたものでした。資料の日付は2018年5月とあります。

f:id:Kango:20180601034616p:image:w450

  • ファイルを開くと特定のURLへ通信を行い、PNG形式に偽装した次のファイル「common_img10.png」をダウンロードします。

f:id:Kango:20180601044728p:image

  • 「common_img10.png」は別の実行ファイル「MSO1024.acl」を生成します。

f:id:Kango:20180601043330p:image

  • 同名(中国投資概況.ppsx)のファイルは5月24日にも確認されていました。

インディケーター情報

以下はこのまとめにて確認した情報です。

ファイル
ファイル名sha256
中国_投資概況.zipa9aff652f8ab62678bf45ead7d0efb43c6a4a28bca63ee7fdfbdcdccb476d3a
中国投資概況.ppsxe4777d7dadb49367533db031f32afd35e44642ac58260dfbcf847875bc22a333
common_img10.png89caf357f870ce68018601d434520a9b2d615f8123fb11d687235d10b267b69c
MSO1024.acl337d610ebcc9c0834124f3215e0fe3da6d7efe5b14fa4d829d5fc698deca227d
通信先
  • hxxp://mercurius-japan[.]com/common/images/common_img10.png (157[.]7[.]144[.]96)
  • hxxp://www[.]suamok[.]com//shop//img//marks_escrow//index.php (211[.]34[.]105[.]7)

IPアドレス2018年6月1日時点のものです。

更新履歴