送信元に関する情報

同協会の注意喚起に次の記載があり、複数の送信手段が用いられている可能性があります。「実在の会社」がどこかは不明です。

この電子メールは、フリーメールまたは実在の会社から送信され、

http://www.webstore.jsa.or.jp/webstore/Com/html/jp/warning201601.pdf

また、FROM記載のメールアドレスを協会のドメイン(jsa.or.jp)に詐称しているのか次の記載がありますが、具体的な送信元のアドレスは同協会からは示されていません。

発信元を日本規格協会のメールアドレスに詐称して送信され、

http://www.jsa.or.jp/info_detail/%E3%80%90%E6%B3%A8%E6%84%8F%E3%80%91%E6%97%A5%E6%9C%AC%E8%A6%8F%E6%A0%BC%E5%8D%94%E4%BC%9A%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%82%92%E8%A9%90%E7%A7%B0%E3%81%97%E3%81%9F.html

検体情報

53555938742c97ff01f9a7f8d6f15587に該当する各種エビデンスは次の通り。

• Virustotal
• Malwr
• Payload Security

添付ファイル名

Virustotalよりファイル名には次の名称が用いられていた可能性があります。これは先ほどの協会から発信された注意喚起とも合致する内容です。

(申込書)一般財団法人日本規格協会 維持会員規程 維持会員制度ijikaiin_application.doc.exe

同協会の「会員制度のご案内」には「維持会員加入申込書」のリンクが張ってあり、このリンク先にはPDFファイル「ijikaiin_application.pdf」とあり、先のファイル名の一部と合致します。ファイル名や文面のほか、もしデコイを使用しているのであれば、これらはこのページに記載されている情報を参照している可能性があります。

偽装アイコンを使用

Wordファイル(2003以前?)のアイコンを偽装した実行ファイルです。

マルウェアの通信先

このマルウェアの通信先は次のイギリスのホスティング事業者(Layershift)のドメインです。

jsacsd[.]j[.]layershift[.]co[.]uk (443ポート)

このドメインは意図したものかは不明ですが、赤文字で示しているように、日本規格協会の略称「JSA」が含まれています。

なお、このドメインへWebからアクセスすると凍結されているとの表示がされます。

またVirustotalでこのURLを検索した際、最初に投じられた日付は半月以上前の昨年12月18日となっていました。先月もこのメールを送ったグループの活動が確認されていたのかもしれません。