piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

2018年1月の文科省なりすましメールについてまとめてみた

2018年1月18日頃、文部科学省になりすましたメールが確認され、Twitter上でメールが届いたとの情報が投降されています。ここでは関連情報をまとめます。

Twitterへ投稿されている情報

詐称メールの情報

詐称メールの情報を整理すると次の通り。

報告された時期 2018年1月17日頃
差出人名 企画評価課
送信元アドレス siraiya128@gmail.com
件名 平成30年度文部科学省の研究計画書
本文(一部) 関係者各位

今度、科学技術学術審議会では、文部科学省における研究計画や評価等について検討を行っております。
審査書類、報告書等については以下のdropboxファイルをご覧ください、何卒ご確認いただきますようお願いいたします

[DropboxのURLが記載]

何かご不明な点がございましたら、私までご連絡ください
記載されたURL hxxps://www.dropbox.com/s/xtjkxwt62yhtljc/%E5%B9%B3%E6%88%9030%E5%B9%B4%E5%BA%A6%E6%96%87%E9%83%A8%E7%A7%91%E5%AD%A6%E7%9C%81%E3%81%AE%E7%A0%94%E7%A9%B6%E8%A8%88%E7%94%BB%E6%9B%B8.zip?dl=0

またこれ以外の情報として、

  • 実在する部署名、連絡先(電話番号)が記載されていた。
  • 受信した人が文科省へ問い合わせし、文科省より偽物であるとの回答があったと報告。

文中のURL、公開されているファイルの情報

  • DropboxのURLが文中にそのまま記載されていた。
  • DropboxではZIPファイルが公開されていた。
  • 2018年1月20日現在まだファイルは公開された状態。
  • ZIPファイルには文書ファイルにアイコンを偽装した実行形式ファイル1個が含まれる。


確認された通信先の情報

  • ファイルの作成日付は「‎2018‎年‎1‎月‎15‎日、‏‎8:53:42」。
  • Virustotalで関連があるドメインとして同様の形式で発行されたとみられるドメインが複数確認された。
  • 通信先のドメインに「jpcert」という文字列が含まれていた。

IOC

Dropbox上で公開されていたファイル
ファイル名 Sha256
平成30年度文部科学省の研究計画書.zip 3ce598d26726f1c70a4bd37dc465594a5d4d2de53d2c3aa0090c1ca80c5089bf
平成30年度文部科学省の研究計画書.docx .exe 6d2f5675630d0dae65a796ac624fb90f42f35fbe5dec2ec8f4adce5ebfaabf75
通信先
ドメイン IPアドレス
jpcert.ignorelist.com 45.76.102.145
関連が疑われるドメイン
jpcerts.jpcertinfo.com
50.63.202.19
50.63.202.3
50.63.202.20
184.168.221.31
184.168.221.17
50.63.202.29
184.168.221.23
50.63.202.21
50.63.202.27
184.168.221.15
184.168.221.13
50.63.202.12
50.63.202.4
184.168.221.30
50.63.202.47
184.168.221.41
50.63.202.55
pcert.ignorelist.com
krcert.ignorelist.com
uscert.ignorelist.com
highhills.ignorelist.com
nickcyeager.ignorelist.com
bondfort.ignorelist.com
sentin.ignorelist.com
goodjob88.ignorelist.com
scifigalaxy.ignorelist.com
thebank.ignorelist.com
iiic.ignorelist.com
ecorp.ignorelist.com
fabs.ignorelist.com
devtns.ignorelist.com
jbeard.ignorelist.com
ialkeilani.ignorelist.com
548.ignorelist.com
careca2.ignorelist.com
infosblog2016.ignorelist.com
synchro.ignorelist.com
guandu.ignorelist.com
wargame.ignorelist.com
win.ignorelist.com
s7.ignorelist.com
codefbi.ignorelist.com
pay-pall.ignorelist.com
ddoslocalhost.ignorelist.com
alfred.ignorelist.com
leratsvivants.ignorelist.com
hrgeuhf3h.ignorelist.com
mypro.ignorelist.com
ngmaster.ignorelist.com
fata.ignorelist.com
mitsu.ignorelist.com
warnung.ignorelist.com
gfysc.ignorelist.com
onth.ignorelist.com
tsm.ignorelist.com
g-vernus.ignorelist.com
g-jupiter.ignorelist.com
sfsb1.ignorelist.com
g-mercury.ignorelist.com
createpage.myserv.ignorelist.com
pronto71.ignorelist.com
boolteamsix.ignorelist.com
twnicsi.ignorelist.com
asatar.ignorelist.com
ttup.ignorelist.com
chimera.ignorelist.com
servizinterbancari.ignorelist.com
hook7346.ignorelist.com
nighto.ignorelist.com
unlimited.ignorelist.com
scanner.ignorelist.com
webapptest.ignorelist.com
alphateam.ignorelist.com
tradepages.ignorelist.com
vulticulus.ignorelist.com
vesstrafecliennntt.ignorelist.com
monk.ignorelist.com
myprofile.ignorelist.com
office-paypal.ignorelist.com
ntdll.ignorelist.com
lmaswirdhadz100.ignorelist.com
xpi1.ignorelist.com
xpi4.ignorelist.com
paypal-update.ignorelist.com
paypal-clients.ignorelist.com
setup1111.ignorelist.com
autorico.ignorelist.com
ro.ignorelist.com
chc4.ignorelist.com
chc3.ignorelist.com
chc2.ignorelist.com
chc1.ignorelist.com
sinisterllc.ignorelist.com
lga15s35-out-f14.ignorelist.com
xi7oheiwie.ignorelist.com
gigaga.ignorelist.com
axiochi.ignorelist.com
decent.ignorelist.com
ip100.ignorelist.com
sidstyle.ignorelist.com
thebog.ignorelist.com
referal-ourpaaymentserver.ignorelist.com
airtimehbk.ignorelist.com
fojasoftwareaudio.ignorelist.com
leak.ignorelist.com
dnuspike1337.ignorelist.com
tibesco.ignorelist.com
ansgar.ignorelist.com
ct1d26em8.ignorelist.com
zet2.ignorelist.com
server7.ignorelist.com
putty123.ignorelist.com
0x0.ignorelist.com
cityumac2.ignorelist.com
nextcloud.ignorelist.com
622.ignorelist.com

更新履歴

  • 2018年1月20日 AM 新規作成