震災情報を装ったウイルスメールは誰が送った? CDI-CIRTが解析(サイバーディフェンス研究所) | ScanNetSecurity
2025.12.25(木)

震災情報を装ったウイルスメールは誰が送った? CDI-CIRTが解析(サイバーディフェンス研究所)

株式会社サイバーディフェンス研究所は4月19日、東日本大震災直後から出回った震災情報を装ったウイルスメールのひとつを解析し、犯人の痕跡調査を行い、同社の福森大喜氏が、自身がゲスト参加するエフセキュアブログで公開した。Word形式の添付ファイルは日本語で放射能

脆弱性と脅威 脅威動向
36 views
facebookLINE
株式会社サイバーディフェンス研究所は4月19日、東日本大震災直後から出回った震災情報を装ったウイルスメールのひとつを解析し、犯人の痕跡調査を行い、同社の福森大喜氏が、自身がゲスト参加するエフセキュアブログで公開した。Word形式の添付ファイルは日本語で放射能情報が書かれていたため、日本人を標的とした攻撃であることはほぼ間違いないと考えられる。攻撃の流れは、添付ファイルを開くとWordの脆弱性を利用してマルウェアに感染させ、キー入力を監視したり、ファイルを盗む。この一連の攻撃でいくつかの痕跡を調査することで、ある共通点が見えてきたという。

まず、添付されていたWordファイルのフォントを調査したところ、「simsun/宋体字」という日本ではあまり見かけないフォントが使われていた。また、攻撃コードファイルのプロパティには、日本語ではない漢字が使われおり、言語情報も「ニュートラル言語、中国語(中国)」となっていた。さらに、実行ファイルに付属していた偽の証明書の署名者名はKingsoftとなっており、検知するアンチウイルスソフトの種類にはいくつかのメジャーなものが抜けている代わりに、聞き慣れないものが入っていた。データ収集用サーバのOS情報もに慣れない漢字が使われている。これらのことから、Aurora攻撃事件では国家ぐるみでのサイバー犯罪への関与がささやかれるなど注目されている「中国」が共通点であった。同社では引き続き、事件解決に努めるとしている。
(吉澤亨史)

サイバーディフェンス研究所
http://www.cyberdefense.jp/
震災情報を装ったウイルスメールの犯人を追う
http://blog.f-secure.jp/archives/50591492.html

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. 元アクセンチュア幹部、米陸軍クラウドの安全基準達成を偽装し監査をあざむく

    元アクセンチュア幹部、米陸軍クラウドの安全基準達成を偽装し監査をあざむく

  2. 給与計算クラウドをネタにメール訓練実施 → サービス元がフィッシング注意喚起を発令

    給与計算クラウドをネタにメール訓練実施 → サービス元がフィッシング注意喚起を発令

  3. バンダイチャンネルへの不正アクセス、最大 136.6 万件の会員情報漏えいの可能性

    バンダイチャンネルへの不正アクセス、最大 136.6 万件の会員情報漏えいの可能性

  4. ネットワーク機器設定ミスが原因 ~ EMシステムズ運営のクラウド版システムで障害

    ネットワーク機器設定ミスが原因 ~ EMシステムズ運営のクラウド版システムで障害

  5. ハウステンボスへの不正アクセス、サーバ内のファイルの一部が暗号化

    ハウステンボスへの不正アクセス、サーバ内のファイルの一部が暗号化

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 脅威動向 記事
TOP