震災情報を装ったウイルスメールは誰が送った? CDI-CIRTが解析(サイバーディフェンス研究所) | ScanNetSecurity
2026.02.24(火)

震災情報を装ったウイルスメールは誰が送った? CDI-CIRTが解析(サイバーディフェンス研究所)

株式会社サイバーディフェンス研究所は4月19日、東日本大震災直後から出回った震災情報を装ったウイルスメールのひとつを解析し、犯人の痕跡調査を行い、同社の福森大喜氏が、自身がゲスト参加するエフセキュアブログで公開した。Word形式の添付ファイルは日本語で放射能

脆弱性と脅威 脅威動向
36 views
facebookLINE
株式会社サイバーディフェンス研究所は4月19日、東日本大震災直後から出回った震災情報を装ったウイルスメールのひとつを解析し、犯人の痕跡調査を行い、同社の福森大喜氏が、自身がゲスト参加するエフセキュアブログで公開した。Word形式の添付ファイルは日本語で放射能情報が書かれていたため、日本人を標的とした攻撃であることはほぼ間違いないと考えられる。攻撃の流れは、添付ファイルを開くとWordの脆弱性を利用してマルウェアに感染させ、キー入力を監視したり、ファイルを盗む。この一連の攻撃でいくつかの痕跡を調査することで、ある共通点が見えてきたという。

まず、添付されていたWordファイルのフォントを調査したところ、「simsun/宋体字」という日本ではあまり見かけないフォントが使われていた。また、攻撃コードファイルのプロパティには、日本語ではない漢字が使われおり、言語情報も「ニュートラル言語、中国語(中国)」となっていた。さらに、実行ファイルに付属していた偽の証明書の署名者名はKingsoftとなっており、検知するアンチウイルスソフトの種類にはいくつかのメジャーなものが抜けている代わりに、聞き慣れないものが入っていた。データ収集用サーバのOS情報もに慣れない漢字が使われている。これらのことから、Aurora攻撃事件では国家ぐるみでのサイバー犯罪への関与がささやかれるなど注目されている「中国」が共通点であった。同社では引き続き、事件解決に努めるとしている。
(吉澤亨史)

サイバーディフェンス研究所
http://www.cyberdefense.jp/
震災情報を装ったウイルスメールの犯人を追う
http://blog.f-secure.jp/archives/50591492.html

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. JPCERT/CC、Active Directory に注目した Windowsのイベントログ分析トレーニング用コンテンツ資料公開

    JPCERT/CC、Active Directory に注目した Windowsのイベントログ分析トレーニング用コンテンツ資料公開

  2. 信和、サイバー攻撃を受けた可能性のある事象を確認

    信和、サイバー攻撃を受けた可能性のある事象を確認

  3. フォレンジック調査を無駄にしないため サイバー攻撃被害発生時にやってはいけないNG行動集、個人情報保護委員会が公表

    フォレンジック調査を無駄にしないため サイバー攻撃被害発生時にやってはいけないNG行動集、個人情報保護委員会が公表

  4. ホソカワミクロン、サイバー攻撃を受けた可能性のある事象を確認

    ホソカワミクロン、サイバー攻撃を受けた可能性のある事象を確認

  5. NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

    NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 脅威動向 記事
TOP