piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

内閣府を詐称したウィルス添付メールの事案をまとめてみた。

インシデントまとめ

内閣府が2012年4月5日付で発表した内閣府を騙ったメールについて、内閣府の発表、報道、およびインターネットの情報を元に概要をまとめました。

概要

内閣府が4月5日付で、内閣府職員を詐称したメールが配信されていることを発表*1しました。
以下は、内閣府が発表した情報の引用です。

平成24年4月4日(水)夕刻以降、内閣府職員のメールアドレスを詐称した電子メールが各方面に配信されたことが判明いたしました。
調査の結果、内閣府の情報システムから問題の電子メールが発信された事実はなく、何者かが内閣府のメールアドレスを騙り、各方面に配信したものと考えられます。
内閣府またはその職員を名乗る者から心当たりのない電子メールが送られてきた場合は、一般にウィルス等に汚染されている可能性もあるので、電子メール(特に添付ファイル)を開かず、削除してください。

http://www.cao.go.jp/press/20120405notice.html

IBM TokyoSOCによるとこのメールは4月5日午前中に多く観測されたものの、現在は沈静化した状況にある*2とのことです。ただし、似たような手口でこのようなメールを作成・送付することは至極容易であり、少なくとも見知らぬ人間、組織から受信したメールの取り扱いは注意が必要です。

下記情報の一部(☆記載個所)は実際に受け取られた方の情報*3 *4を引用させて頂いています。

  • 詐称メールの情報 (4/5発表)
    • 送付時期 2012/04/04夕方〜04/05午前中
    • 送付人数 比較的広範囲(多業種、広い地域で観測)
    • 開封人数 広島県教委「豊かな心育成課」2名のPCで感染報告。
    • 送付元メールアドレス 内閣府職員のメールアドレス(*******.********@cao.go.jp)☆
    • 差出人名 内閣府職員名
    • 発信元 中国のIPアドレス
    • 件名 「Fw: 【機2】対北朝鮮措置の延長について」
    • 本文 「関係者各位 平素よりお世話になっております。標記についてお送りします。宜しくご査収ください。」☆
    • 添付ファイル 有り(ウィルス)
      • ZIPファイル「対北朝鮮措置の延長について.zip」☆
      • 展開すると実行ファイル(無地のアイコン)☆
      • 感染すると外部に情報を発信する。(トロイの木馬型)
      • McAfeeでは検知。(Symantecでは検知せず)☆
      • 感染後どこに対して情報を送信するかは未公表。
  • 広島県の対応
    • ネットワークから隔離
    • 専門機関への分析依頼

内閣府の情報漏えいの可能性はあるか

内閣府は「調査の結果、情報システムに問題ないこと」を詐称メールとあわせて発表しています。

また次の2つから詐称メールを配信した人間は一般に公開されている情報を元に作成したと推測されます。

  • 詐称メールや添付ファイルにつけられている名前も4月3日の官房長官記者会見の件名*5と合致
  • メール本文は使い回し出来るありきたりな文面

ただし、文面最後に記載されている署名は詐称された職員が使用しているものをそのまま流用していると思われ、何かしらの機会を通じてこの情報を入手したもの考えられます。

詐称メールを受け取られた方のつぶやき

内閣府を詐称したメールは比較的広範囲に対して配信されたようで、受け取られた方も多くいらっしゃいます。
下記受け取られ方のつぶやきを一部列挙します。

http://twitter.com/takero_doi/status/187680271880040451:twitter:detail:left
http://twitter.com/kankimura/status/187683826665930753:twitter:detail:left
http://twitter.com/Ken_Nakamura/status/187700493286518784:twitter:detail:left
http://twitter.com/7ma9ra/status/187722539529801728:twitter:detail:left
http://twitter.com/knattoh/status/187733127144275968:twitter:detail:left
http://twitter.com/a_mikatsura/status/187775348472160256:twitter:detail:left
http://twitter.com/OrangeMorishita/status/187892159549157376:twitter:detail:left
http://twitter.com/smoneyb/status/187898483435515904:twitter:detail:left

これらつぶやかれている方の内プロフィール等で公開されている情報を見ると、特定業種には偏っておらず、広範囲に対して配信されたことが分かります。

時系列まとめ

  • 2012/04/04 夕方頃〜 04/05 午前中
    • 内閣府の職員を装って全国各地にウィルスが添付されたメールが配信される。
    • Twitter上でメールを受け取ったというつぶやく方多数。
  • 2012/04/05
    • 内閣府が詐称メールが配信されている事実をHPで発表。
    • IBM TokyoSOCが観測されたメール検知数の情報を公開。
    • 広島県教委が午前7時頃送付を受け、9時ごろに開封し感染。
    • 総務省が午後に自治体向けに注意喚起。
  • 2012/04/09
    • 広島県教委にて感染事実が発覚し、発表。

本事案は標的型攻撃に該当するのか。

今回の詐称メールは「広範囲に配信」、「ウィルス対策ソフトが検知」という特徴を持っています。
この特徴から、今回の詐称メールはマス(広範囲)型のウィルス添付メールに該当すると考え、今回は「標的型攻撃」等の表現は使っていません。

更新履歴

※更新履歴は魚拓を参照。
04/06 PM 新規作成
04/09 PM 広島県感染報道を反映。

※ 概要をまとめるにあたり参考にした報道情報 *6 *7 *8 *9 *10

*1:内閣府を騙った電子メールについて,内閣府,2012/04/06アクセス:魚拓

*2:内閣府を騙る不正なメール,IBM,2012/04/06アクセス:魚拓

*3:北朝鮮ミサイルの余波。,GunGunMeteoの備忘録,2012/04/06アクセス:魚拓

*4:Twitterでのつぶやきも参照

*5:官房長官記者会見 平成24年4月3日(火)午前,内閣官房,2012/04/06アクセス:魚拓

*6:“北朝鮮の情報”装うメールに注意を,NHK,2012/04/06アクセス:魚拓

*7:標的型メール:県庁に内閣府職員装い2通 実害なし /香川,毎日新聞,2012/04/06アクセス:魚拓

*8:サイバー攻撃:ウイルスメール、県庁に 「標的型」初の確認、注意呼び掛け /徳島,毎日新聞,2012/04/06アクセス:魚拓

*9:内閣府職員なりすます不審メールでウイルス感染,読売新聞,2012/04/09アクセス:魚拓

*10:「北朝鮮情報」で県PC感染=実在の政府職員名でウイルス送付−広島,時事通信,2012/04/09アクセス:魚拓