不正なJPGファイルを正規サイトでも確認、独自の手法で自身を更新(トレンドマイクロ) | ScanNetSecurity
2026.02.18(水)

不正なJPGファイルを正規サイトでも確認、独自の手法で自身を更新(トレンドマイクロ)

トレンドマイクロは、通常とは異なる手法で自身を更新する「SOGOMOT」および「MIRYAGO」ファミリの不正プログラムを確認したと同社ブログで発表した。

脆弱性と脅威 脅威動向
125 views
facebookLINE
今回の標的型攻撃で確認されたJPEGファイルの例
今回の標的型攻撃で確認されたJPEGファイルの例 全 2 枚 拡大写真
トレンドマイクロ株式会社は12月5日、通常とは異なる手法で自身を更新する「SOGOMOT」および「MIRYAGO」ファミリの不正プログラムを確認したと同社ブログで発表した。これらの不正プログラムは、暗号化された環境設定ファイルを含む画像ファイル(JPG)をダウンロードするが、今回確認された不正プログラムでは環境設定ファイルを隠すことが特徴的としている。これらのJPEGファイルはアジア太平洋地域にホストされているWebサイトに組み込まれており、同地域における標的型攻撃に利用されていると同社では推測している。

このJPEGファイルが暗号化されていたが、同社ではファイルのコンテンツを復号し解析することができた。解析結果から、コンテンツは「環境設定ファイル(タイプA)」「環境設定ファイル(タイプB)」「バイナリコンテンツ(DLLファイルまたは実行ファイル)」3つのグループに分けられた。環境設定ファイル(タイプA)は、これまでに確認された他の不正プログラムの環境設定ファイルと似ていたが、環境設定ファイル(タイプB)には各セキュリティ企業のセキュリティ対策製品のプロセス名のほかに、標的となったネットワーク内のホスト名の情報が含まれていた。

これらのJPEGファイルのほとんどは、アジア太平洋地域に位置するさまざまなWebサイトに組み込まれており、そのいくつかは正規のWebサイトであった。さらに同社では、復号した環境設定ファイルの情報を利用して、この不正プログラムによって送られたメールを取得することができた。メールには、「tplink2.bin」と名付けられた暗号化されたファイルが添付されており、ファイルには「感染PCのネットワーク上のホスト名、IPアドレス」「不正プログラムによってすでに接続されたJPEGファイルの一覧」「インストール済みのセキュリティ更新情報を含む、詳細なOSバージョン情報」が含まれていた。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. 「いやいや」セキュリティをやっている世の全ての管理者に寄り添う ~ スリーシェイク手塚卓也の Securify 開発哲学

    「いやいや」セキュリティをやっている世の全ての管理者に寄り添う ~ スリーシェイク手塚卓也の Securify 開発哲学PR

  2. 懲戒解雇処分 フジテレビ元社員が取材情報や内部情報を競合他社に漏えい

    懲戒解雇処分 フジテレビ元社員が取材情報や内部情報を競合他社に漏えい

  3. VPN 機器のログから不正アクセスの痕跡 ~ 関西総合システムにランサムウェア攻撃

    VPN 機器のログから不正アクセスの痕跡 ~ 関西総合システムにランサムウェア攻撃

  4. メール誤送信で農林水産省 職員及びその家族 4,571 人分のマイナンバー含む情報漏えい

    メール誤送信で農林水産省 職員及びその家族 4,571 人分のマイナンバー含む情報漏えい

  5. 「セキュリティ貧困ライン」の提唱者が問うセキュリティ産業の原罪

    「セキュリティ貧困ライン」の提唱者が問うセキュリティ産業の原罪

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 脅威動向 記事
TOP