2016-11-14
ICT-ISACやNTTコミュニケーションズのなりすましメールについてまとめてみた
インシデントまとめ | |
2016年10月から11月にかけ、ICT-ISACやNTTコミュニケーションズから送られたようになりすましたメールが確認されたとして、総務省他関係組織から注意喚起が発信されています。ここではこれらの関連情報をまとめます。
注意喚起他
各組織より発信されているなりすましメールの注意喚起、解析記事は次の通りです。
また、なりすましが確認された2組織の内、NTTコミュニケーションズは11月14日時点で同社Webサイトの最新プレスリリース(魚拓)には同様の注意喚起に関係する情報は確認できず。
総務省
- 2016年10月31日 「一般社団法人 ICT-ISAC」名で発信されたマルウェア感染に係る注意喚起及び除去ツールの配布に関する不審なメールにご注意ください。 (魚拓)
- 2016年10月31日 【注意喚起】ACTIVE活動に関する偽メールについて (魚拓)
- 2016年11月14日 「NTTコミュニケーションズ株式会社」名で発信されたコンピューターウィルス感染に係る注意喚起及び除去ツールの配布に関する不審なメールにご注意ください。 (魚拓)
一般社団法人 ICT-ISAC
- 2016年10月31日 [注意喚起]当法人になりすました偽メールについて (魚拓)
トレンドマイクロ
(n)inja csirt
タイムライン
関連情報のタイムラインを整理します。
| 日付 | アクター | 出来事 |
|---|---|---|
| 10月30日 | 不明 | マルウェアに感染させる手順を記したPDFを作成? |
| 10月31日 | 総務省 | ICT-ISACのなりすましメールを注意喚起 |
| 同日 | ICT-ISAC | ICT-ISACのなりすましメールを注意喚起 |
| 同日以降 | トレンドマイクロ | なりすましメールの拡散を確認 |
| 11月1日 | 総務省 | ICT-ISACの注意喚起掲載のなりすましメールの本文を削除 |
| 11月3日頃 | 不明 | Megaのサイト上からマルウェア(アップロードしたアカウント)が削除 |
| 11月10日 | トレンドマイクロ | 当該事案に関連すると考えられるなりすましメール解析記事をブログに掲載 |
| 11月14日 | 総務省 | NTTコミュニケーションズのなりすましメールを注意喚起 |
なりすましメールを受けて各組織の対応状況
注意喚起の他に確認できた各組織の動きは次の通り。
ICT-ISAC
- 警視庁へ連絡し情報共有
なりすましメールの関連情報
なりすましメールの拡散・動向の状況
トレンドマイクロのブログより引用。同社がモニタリングしている統計情報(SPN)より。
- 今回確認されたなりすましメールは「30件ほどしか」確認されていない。
今回の日本語マルウェアスパムも、トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network(SPN)」の統計によれば、日本国内で 30件ほどしか確認されておらず、あまり広い範囲に流布されているものではないと考えられます。
- 同様の手口のスパムを10月以降繰り返し確認している。
今回と同様の手口の日本語マルウェアスパムを 10月以降に繰り返し確認しており、ランサムウェアを使用するサイバー犯罪者が新たに日本を標的とし始めたこと示すひとつの兆候であるものと考えています。
なりすましメールの詳細情報
11月14日現在、明らかにされているなりすましメールの詳細情報はICT-ISAC関係と思われるもののみ。総務省が最初に注意喚起した掲載内容より次の通り。件名、本文等を変えた類似メールが存在する可能性も指摘されています。なお、このようなメールが実際送られることはないそうです。
| FROMアドレス | ict-isac@sigaint.org |
|---|---|
| 差出人名 | 一般社団法人ICT-ISAC セキュリティ本部 |
| 件名 | 【重要】総務省共同プロジェクト インターネットバンキングに係るマルウェアへの感染者に対する注意喚起及び除去ツールの配布について |
また本文は次の通り。
---------------------------------------------------------------------------- ------------------------------------------------------------------ このメールは総務省、一般財団法人日本データ通信協会、一般社団法人ICT-ISAC、ME GA Incの4社が協力しているマルウェア対策支援プロジェクトにおいて マルウェア(VAWTRAK)に感染している事実が判明した事業者及び個人の方々に注意喚 起及び除去ツールを配布することを目的に配信されております。 本メールを受信した事業者及び個人の皆様におかれましてはマルウェア(VAWTRAK)に 感染しており、今後インターネットバンキングにおける不正送金や感染端末を利用したサイバー犯罪に巻きもまれる可能性が非常に高くなります。 必ず本メール及び添付資料をご確認のうえマルウェア(VAWTRAK)の除去を行ってください。 ---------------------------------------------------------------------------- ------------------------------------------------------------------ 拝啓 益々御清栄のこととお慶び申し上げます。 この度、総務省協力事業インターネットバンキングに係るマルウェアへの感染者に対 する注意喚起及び除去ツールの配布事業において 貴社のネットワーク端末がマルウェア(VAWTRAK)に感染している事実が判明しました のど注意喚起及び除去ツールの配布をさせて頂きます。 総務省の報道発表資料 http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000092.html 一般社団法人ICT-ISACの報道発表資料(発表当時は一般財団法人日本データ通信協会 テレコム・アイザック推進会議) https://www.telecom-isac.jp/news/news20150410.html 添付資料「インターネットバンキングに係るマルウェアへの感染者に対する注意喚起 の実施について」(総務省発表資料)をご確認頂き、本プロジェクトの概要をご理解 したうえで、「マルウェア(VAWTRAK)除去ツールの配布について」に記載されている手順に従って マルウェア(VAWTRAK)の除去を行ってください。 マルウェア(VAWTRAK)を除去せずに放置し続けた場合、インターネットバンキングの 不正送金被害や感染端末を起点としたサイバー犯罪に巻き込まれる可能性が非常に高 くなります。 必ずご対応頂き、ご不明な点がございましたら下記の問い合わせ先までご連絡くださ い。 本プロジェクトの問い合わせ 一般社団法人ICT-ISAC Mail: ict-isac@sigaint.org 〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜 一般社団法人ICT-ISAC 〒107-0052 東京都港区赤坂2-17-28 NTT赤坂ビル1階 URL:https://www.ict-isac.jp/index.html 一般財団法人日本データ通信協会 テレコム・アイザック推進会議 (Telecom-ISAC Japan)から組織変更されました 一般財団法人 日本データ通信協会 http://www.dekyo.or.jp/index.html
NTTコミュニケーションズは件名が異なる
総務省の注意喚起によればNTTコミュニケーションズのなりすましメールはICT-ISACとは件名が異なります。
| なりすまされた組織 | 件名 |
|---|---|
| NTTコミュニケーションズ | 【重要】総務省共同プロジェクト コンピューターウィルスの感染者に対する注意喚起及び除去ツールの配布について |
| ICT-ISAC | 【重要】総務省共同プロジェクト インターネットバンキングに係るマルウェアへの感染者に対する注意喚起及び除去ツールの配布について |
ICT-ISACの件名と比較すると「インターネットバンキングに係るマルウェアへの感染者」の箇所がNTTコミュニケーションズでは「コンピューターウィルスの感染者」と異なります。
また、この注意喚起と同一の件名が11月10日公開(総務省注意喚起の4日前)のトレンドマイクロのブログにも掲載されていました。
■「マルウェア除去ツール」を偽装するランサムウェア 今回確認されたマルウェアスパムは、「【重要】総務省共同プロジェクト コンピューターウィルスの感染者に対する注意喚起及び除去ツールの配布について」という件名と本文で利用者をだまし、「マルウェア除去ツール」に偽装したランサムウェアをダウンロードさせ、感染させようとするものです。メールをよく調べると、送信元は海外のフリーメールである「SIGAINT」であることがわかります。この「SIGAINT」は匿名ネットワーク「Tor」を利用したフリーメールサービスであり、送信者の秘匿が可能です。このマルウェアスパムの送信者も追跡の困難化を狙って使用しているものと思われます。
「除去手順」を装ったマルウェア感染の手引きを眺めてみた
なりすましメールにはPDFを含む圧縮ファイルが添付されていたとの情報があります。
辻さんの解析によれば、PDFに記載された手順に従って操作を進めていくとランサムウェア(Petya & Mischa)に感染します。
おまけとして、添付されていたと思われるこのPDFファイルから何か得られる情報がないか眺めてみました。
| SHA256 | 98a41854129611fa3ddbdd3c06c5245493897295b54e58b33604d1d7aa4b15e0 |
|---|
PDFの文書プロパティを眺めてみた
| 作成日 | 2016年10月30日 18時42分15秒 |
|---|---|
| PDF変換ソフト | doPDF Ver 8.7 Build 943 |
実際に送られたなりすましメールは確認できていませんが、関連組織より注意喚起が出されたのは31日でしたので、送信直前にこのファイルが作られたのでしょうか。(プロパティの情報が改ざんされている可能性もあります。)
PDFの内容を眺めてみた
次にPDF中身を眺めていたのですが、(これが不審なPDFであることを知っている前提で)次の個所に違和感を覚えました。
| 該当ページ | 違和感を覚えたところ |
|---|---|
| 全体 | マルウェアを取り除く行為をこのPDFでは「除去」と表現している。総務省やACTIVE Projectに掲載されている文面を見ると「駆除」と表現されており一致しない。 |
| 1ページ | タイトル「マルウェア(VAWTRAK)除去ツールの配布及び注意喚起及び除去ツールの配布について」と記載されており、「除去ツールの配布」が冗長的な記載となっている。 |
| 4ページ | Windows Defenderの起動手順として示されている画像、並びに情報が古い。現在は「何でも聞いてください」と表示される。Cortana実装前の画像と思われる。 |
| 4ページ | Internet Explorerが赤枠で囲われており、肝心の入力欄が赤枠で示されていない。 |
| 4ページ、5ページ | Windows Defenderを「Windows Difender」と表記している。複数個所がすべてこの表記に統一されていることから少なくとも単純な打ち間違いではない模様。 |
4ページ目に掲載された次の画像をよく見ると「本田、新体制のミランに居場所なし?」といった文言と本田選手らしき画像が掲載されていることがわかります。恐らくこの記事をWindows10のスポーツアプリが読み込んだものが表示されたのではないかと思います。2015年7月近辺の何かしらの手順に記載されたWindows10 スタートメニューの図をこのPDFの作成者がどこからか持ってきたのでしょうか。
また、2ページ目の概要説明個所は総務省が2015年4月に掲載した文書に文書の内容が似ています。
差分は次の通り。左が今回眺めているPDF、右が総務省掲載文です。ICT-ISACになりすますため、そしてマルウェアを実行させるために、必要な個所を違和感なくアレンジしているように見えます。
マルウェアのダウンロードURL
PDFに記載されている除去ツールとしてダウンロードが促されるURLは次のものです。
https://mega.nz/#!HxtDEK6Q!WbjLgA3bbfVzQvtWmqEyKAfn3SLqVlY702dPPBfB-3A
また、このマルウェアをアップロードしたアカウントは既に凍結済みです。「除去」という表現が似ているのはたまたまかもしれません。
| SHA256 | 908970580ffd651329a3a36a6d20335f7278cf174cc7dfcc8299f149d72d8d3e |
|---|
PDFにも記載がある通り圧縮ファイル(ZIP形式)で、これを展開するとマルウェア本体(EXEファイル)が格納されています。元からプログラムであることを説明しているからなのか偽装する細工は行われておらず、Windows標準のプログラムのアイコンでした。