不正なJPGファイルを正規サイトでも確認、独自の手法で自身を更新(トレンドマイクロ) | ScanNetSecurity
2026.03.31(火)

不正なJPGファイルを正規サイトでも確認、独自の手法で自身を更新(トレンドマイクロ)

トレンドマイクロは、通常とは異なる手法で自身を更新する「SOGOMOT」および「MIRYAGO」ファミリの不正プログラムを確認したと同社ブログで発表した。

脆弱性と脅威 脅威動向
125 views
facebookLINE
今回の標的型攻撃で確認されたJPEGファイルの例
今回の標的型攻撃で確認されたJPEGファイルの例 全 2 枚 拡大写真
トレンドマイクロ株式会社は12月5日、通常とは異なる手法で自身を更新する「SOGOMOT」および「MIRYAGO」ファミリの不正プログラムを確認したと同社ブログで発表した。これらの不正プログラムは、暗号化された環境設定ファイルを含む画像ファイル(JPG)をダウンロードするが、今回確認された不正プログラムでは環境設定ファイルを隠すことが特徴的としている。これらのJPEGファイルはアジア太平洋地域にホストされているWebサイトに組み込まれており、同地域における標的型攻撃に利用されていると同社では推測している。

このJPEGファイルが暗号化されていたが、同社ではファイルのコンテンツを復号し解析することができた。解析結果から、コンテンツは「環境設定ファイル(タイプA)」「環境設定ファイル(タイプB)」「バイナリコンテンツ(DLLファイルまたは実行ファイル)」3つのグループに分けられた。環境設定ファイル(タイプA)は、これまでに確認された他の不正プログラムの環境設定ファイルと似ていたが、環境設定ファイル(タイプB)には各セキュリティ企業のセキュリティ対策製品のプロセス名のほかに、標的となったネットワーク内のホスト名の情報が含まれていた。

これらのJPEGファイルのほとんどは、アジア太平洋地域に位置するさまざまなWebサイトに組み込まれており、そのいくつかは正規のWebサイトであった。さらに同社では、復号した環境設定ファイルの情報を利用して、この不正プログラムによって送られたメールを取得することができた。メールには、「tplink2.bin」と名付けられた暗号化されたファイルが添付されており、ファイルには「感染PCのネットワーク上のホスト名、IPアドレス」「不正プログラムによってすでに接続されたJPEGファイルの一覧」「インストール済みのセキュリティ更新情報を含む、詳細なOSバージョン情報」が含まれていた。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 業務提携していた文教堂も被害に ~ 日販グループ 元従業員による情報漏えい

    業務提携していた文教堂も被害に ~ 日販グループ 元従業員による情報漏えい

  2. 元従業員、クラウド → メール → 退職後DL の三段階で情報持ち出し

    元従業員、クラウド → メール → 退職後DL の三段階で情報持ち出し

  3. サイバー犯罪者の大半は「いい歳したおっさん」だった

    サイバー犯罪者の大半は「いい歳したおっさん」だった

  4. システムの脆弱性を悪用 ~ マツダがタイからの調達部品の倉庫業務に利用していた管理システムに不正アクセス

    システムの脆弱性を悪用 ~ マツダがタイからの調達部品の倉庫業務に利用していた管理システムに不正アクセス

  5. 20の資格取得状況 ~ JNSA「セキュリティ人材 アンケート調査 速報」公表

    20の資格取得状況 ~ JNSA「セキュリティ人材 アンケート調査 速報」公表

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 脅威動向 記事
TOP