ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2018-07-06

経済産業省の偽サイトとFIFA 2018関連を装ったスパムメールについて調べてみた

| 18:19 |  経済産業省の偽サイトとFIFA 2018関連を装ったスパムメールについて調べてみたを含むブックマーク

2018年7月4日、経済産業省は同省の偽サイトが公開されているとして注意喚起を行いました。また偽サイトを使ったスパムメールが撒かれていることも確認しています。ここでは関連情報についてまとめます。

経済産業省の偽サイト

metigojp[.]comを使って公開

7月4日頃、www[.]metigojp[.]comといったドメインを使った経済産業省のコピーサイトが公開されていました。

www[.]metigojp[.]comのIPアドレスは「144[.]76[.]196[.]175」とドイツのものでした。Passivetotalに残っていた記録では、このサイトは遅くとも6月21日(metigojp[.]comは19日)には稼働していたようです。

f:id:Kango:20180706173945p:image

偽サイトのソースコードには次の記述がありました。

f:id:Kango:20180706173943p:image

この記述を素直に受け取るのであれば、偽サイトを公開した人物は「HTTrack Website Copier」を用いて2018年6月21日19時頃に経済産業省のサイトをコピーしたとみられます。

また、この偽サイトではマルウェアダウンロードされるなど脅威となるような動きは確認できませんでした。

今回このmetigojp[.]comのWhois情報を見たところ、項目の多くが「GDPR Masked」と記述されており、2018年5月25日から施行されているEU一般データ保護規則の影響を受けマスキングが行われていました。

f:id:Kango:20180706173936p:image

経済産業省が注意喚起

この偽サイトとの関連は不明ですが、同日昼過ぎに経済産業省が以下の注意喚起を公開しました。

この注意喚起内に記述された偽サイトの例示ドメインがmetigo[.]***[.]comとなっており、piyokangoが把握していた偽サイトのドメインと異なっていたことから他にも偽サイトが公開されていたと考えられます。これは後日報じられていた記事においても「7月5日午前中にも存在していた」と説明がされています。*1

偽サイトのその後

piyokangoが確認した偽サイト(metigojp[.]com)は同日午後14時頃には接続できない状態になっていました。

さらにその後にこのドメインサスペンドの措置が取られていました。このドメインの偽サイトはテイクダウンされたようです。

f:id:Kango:20180706173940p:image

スパムメールに使われていた

今回確認した偽サイトはFIFA 2018のサポートをするといった主旨のスパムメールのFROMアドレスや文中で使われていました。

f:id:Kango:20180706173948p:image:w450

以下は一部をマスキング、加工した本文です。翻訳したような不自然な文体となっています。

親愛なる〇〇〇〇!

私たちのチームはロシアサッカーワールドカップ2018に成功しました。

当社のガバナンスは、思い出に残るお土産をパートナーに提供することを決定しました。

この贈り物は、アスレテットのための私たちのプライドの象徴となりましょう。

メールの添付ファイルを見てください。

この添付資料でお土産を選ぶことができます。

宜しく

〇〇 〇〇

詳細については、公式ウェブサイトmetigojp[.]comをご覧ください。

スパムメールの詳細
  • HTML形式のメールで本文冒頭に「hxxp://metigojp[.]com/img_2017/soccer.jpg」の画像リンクが埋め込まれていました。
  • メール宛先に国内のソフトウェア開発会社が含まれていました。また、他にも受信した組織を確認しており、BCCも用いられていたとみられます。
  • 送信元は「175[.]196[.]76[.]144」と記録されていました。これは偽サイトに用いられていたサーバーIPアドレスと同じです。
  • User-Agentは「Roundcube Webmail/1.0.12」と記録されていました。
添付された文書ファイル

スパムメールにはRTF形式の文書ファイル「Gift.rtf」が添付されていました。

ファイルはFIFA2018のグッズの注文書のような内容でした。

f:id:Kango:20180706180549p:image:w450

  • 添付ファイルのMD5は「4528e7682c6d59d9b091aef6345a990e」です。この記事を書いている時点ではVirustotal上にはアップロードされていません。
  • 本文中は「www[.]metigojp[.]com/news.html」へのハイパーリンクが埋め込まれていました。
  • ファイル内で何らかの脆弱性を用いているとみられ、一部のセキュリティ製品がこのファイルを検出しました。

更新履歴

  •  2018年7月6日 PM 新規作成