震災情報を装ったウイルスメールは誰が送った? CDI-CIRTが解析(サイバーディフェンス研究所) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.24(水)

震災情報を装ったウイルスメールは誰が送った? CDI-CIRTが解析(サイバーディフェンス研究所)

株式会社サイバーディフェンス研究所は4月19日、東日本大震災直後から出回った震災情報を装ったウイルスメールのひとつを解析し、犯人の痕跡調査を行い、同社の福森大喜氏が、自身がゲスト参加するエフセキュアブログで公開した。Word形式の添付ファイルは日本語で放射能

脆弱性と脅威 脅威動向
株式会社サイバーディフェンス研究所は4月19日、東日本大震災直後から出回った震災情報を装ったウイルスメールのひとつを解析し、犯人の痕跡調査を行い、同社の福森大喜氏が、自身がゲスト参加するエフセキュアブログで公開した。Word形式の添付ファイルは日本語で放射能情報が書かれていたため、日本人を標的とした攻撃であることはほぼ間違いないと考えられる。攻撃の流れは、添付ファイルを開くとWordの脆弱性を利用してマルウェアに感染させ、キー入力を監視したり、ファイルを盗む。この一連の攻撃でいくつかの痕跡を調査することで、ある共通点が見えてきたという。

まず、添付されていたWordファイルのフォントを調査したところ、「simsun/宋体字」という日本ではあまり見かけないフォントが使われていた。また、攻撃コードファイルのプロパティには、日本語ではない漢字が使われおり、言語情報も「ニュートラル言語、中国語(中国)」となっていた。さらに、実行ファイルに付属していた偽の証明書の署名者名はKingsoftとなっており、検知するアンチウイルスソフトの種類にはいくつかのメジャーなものが抜けている代わりに、聞き慣れないものが入っていた。データ収集用サーバのOS情報もに慣れない漢字が使われている。これらのことから、Aurora攻撃事件では国家ぐるみでのサイバー犯罪への関与がささやかれるなど注目されている「中国」が共通点であった。同社では引き続き、事件解決に努めるとしている。
(吉澤亨史)

サイバーディフェンス研究所
http://www.cyberdefense.jp/
震災情報を装ったウイルスメールの犯人を追う
http://blog.f-secure.jp/archives/50591492.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません

×