piyolog

内閣府を詐称したウィルス添付メールの事案をまとめてみた。

インシデントまとめ | 01:26 |

内閣府が2012年4月5日付で発表した内閣府を騙ったメールについて、内閣府の発表、報道、およびインターネットの情報を元に概要をまとめました。

概要

内閣府が4月5日付で、内閣府職員を詐称したメールが配信されていることを発表*1しました。

以下は、内閣府が発表した情報の引用です。

平成24年4月4日（水）夕刻以降、内閣府職員のメールアドレスを詐称した電子メールが各方面に配信されたことが判明いたしました。

調査の結果、内閣府の情報システムから問題の電子メールが発信された事実はなく、何者かが内閣府のメールアドレスを騙り、各方面に配信したものと考えられます。

内閣府またはその職員を名乗る者から心当たりのない電子メールが送られてきた場合は、一般にウィルス等に汚染されている可能性もあるので、電子メール（特に添付ファイル）を開かず、削除してください。

http://www.cao.go.jp/press/20120405notice.html

IBM TokyoSOCによるとこのメールは4月5日午前中に多く観測されたものの、現在は沈静化した状況にある*2とのことです。ただし、似たような手口でこのようなメールを作成・送付することは至極容易であり、少なくとも見知らぬ人間、組織から受信したメールの取り扱いは注意が必要です。

下記情報の一部（☆記載個所）は実際に受け取られた方の情報*3 *4を引用させて頂いています。

• 詐称メールの情報 (4/5発表)
  • 送付時期　2012/04/04夕方〜04/05午前中
  • 送付人数　比較的広範囲（多業種、広い地域で観測）
  • 開封人数　2012年4月6日現在、ウィルスに感染した等の被害報告なし。
  • 送付元メールアドレス　内閣府職員のメールアドレス（*******.********@cao.go.jp）☆
  • 差出人名　内閣府職員名
  • 発信元　中国のIPアドレス☆
  • 件名　「Fw: 【機２】対北朝鮮措置の延長について」
  • 本文　「関係者各位　平素よりお世話になっております。標記についてお送りします。宜しくご査収ください。」☆
  • 添付ファイル　有り（ウィルス）
    • ZIPファイル「対北朝鮮措置の延長について.zip」☆
    • 展開すると実行ファイル（無地のアイコン）☆
    • 感染すると外部に情報を発信する。（トロイの木馬型）
    • McAfeeで検知。（Symantecでは検知せず）☆
    • 感染後どこに対して情報を送信するかは未公表。

内閣府の情報漏えいの可能性はあるか

内閣府は「調査の結果、情報システムに問題ないこと」を詐称メールとあわせて発表しています。

また次の2つから詐称メールを配信した人間は一般に公開されている情報を元に作成したと推測されます。

• 詐称メールや添付ファイルにつけられている名前も4月3日の官房長官記者会見の件名*5と合致
• メール本文は使い回し出来るありきたりな文面

ただし、文面最後に記載されている署名は詐称された職員が使用しているものをそのまま流用していると思われ、何かしらの機会を通じてこの情報を入手したもの考えられます。

詐称メールを受け取られた方のつぶやき

内閣府を詐称したメールは比較的広範囲に対して配信されたようで、受け取られた方も多くいらっしゃいます。

下記受け取られ方のつぶやきを一部列挙します。

これらつぶやかれている方の内プロフィール等で公開されている情報を見ると、特定業種には偏っておらず、広範囲に対して配信されたことが分かります。

時系列まとめ

• 2012/04/04 夕方頃〜 04/05 午前中
  • 内閣府の職員を装って全国各地にウィルスが添付されたメールが配信される。
  • Twitter上でメールを受け取ったというつぶやく方多数。
• 2012/04/05
  • 内閣府が詐称メールが配信されている事実をHPで発表。
  • IBM TokyoSOCが観測されたメール検知数の情報を公開。

本事案は標的型攻撃に該当するのか。

今回の詐称メールは「広範囲に配信」、「ウィルス対策ソフトが検知」という特徴を持っています。

この特徴から、今回の詐称メールはマス（広範囲）型のウィルス添付メールに該当すると考え、今回は「標的型攻撃」等の表現は使っていません。

更新履歴

※更新履歴は魚拓を参照。

04/06 PM 新規作成

※ 概要をまとめるにあたり参考にした報道情報 *6 *7 *8

ツイートする