2018年7月4日、経済産業省は同省の偽サイトが公開されているとして注意喚起を行いました。また偽サイトを使ったスパムメールが撒かれていることも確認しています。ここでは関連情報についてまとめます。
経済産業省の偽サイト
metigojp[.]comを使って公開
7月4日頃、www[.]metigojp[.]comといったドメインを使った経済産業省のコピーサイトが公開されていました。
経済産業省のサイトをコピーしたとみられるWebサイト(IPは独)が稼働中。
— piyokango (@piyokango) 2018年7月4日
www[.]metigojp[.]com pic.twitter.com/O7W4VQvDka
www[.]metigojp[.]comのIPアドレスは「144[.]76[.]196[.]175」とドイツのものでした。Passivetotalに残っていた記録では、このサイトは遅くとも6月21日(metigojp[.]comは19日)には稼働していたようです。
偽サイトのソースコードには次の記述がありました。
この記述を素直に受け取るのであれば、偽サイトを公開した人物は「HTTrack Website Copier」を用いて2018年6月21日19時頃に経済産業省のサイトをコピーしたとみられます。
また、この偽サイトではマルウェアがダウンロードされるなど脅威となるような動きは確認できませんでした。
今回このmetigojp[.]comのWhois情報を見たところ、項目の多くが「GDPR Masked」と記述されており、2018年5月25日から施行されているEU一般データ保護規則の影響を受けマスキングが行われていました。
経済産業省が注意喚起
この偽サイトとの関連は不明ですが、同日昼過ぎに経済産業省が以下の注意喚起を公開しました。
- 2018年7月4日 経済産業省ホームページを模倣したサイトにご注意ください!
経済産業省ホームページの偽サイトにご注意!
— 経済産業省 (@meti_NIPPON) 2018年7月4日
偽サイトにアクセスすると、コンピュータウィルスに感染するなどのおそれがあります。当省のホームページは「https://t.co/Fz7tydNFVt」ですので、必ずご確認ください。https://t.co/tGYtpB8oqo
この注意喚起内に記述された偽サイトの例示ドメインがmetigo[.]***[.]comとなっており、piyokangoが把握していた偽サイトのドメインと異なっていたことから他にも偽サイトが公開されていたと考えられます。これは後日報じられていた記事においても「7月5日午前中にも存在していた」と説明がされています。*1
スパムメールに使われていた
今回確認した偽サイトはFIFA 2018のサポートをするといった主旨のスパムメールのFROMアドレスや文中で使われていました。
以下は一部をマスキング、加工した本文です。翻訳したような不自然な文体となっています。
親愛なる〇〇〇〇!
私たちのチームはロシアのサッカーワールドカップ2018に成功しました。
当社のガバナンスは、思い出に残るお土産をパートナーに提供することを決定しました。
この贈り物は、アスレテットのための私たちのプライドの象徴となりましょう。
メールの添付ファイルを見てください。
この添付資料でお土産を選ぶことができます。
宜しく
〇〇 〇〇
詳細については、公式ウェブサイトmetigojp[.]comをご覧ください。
スパムメールの詳細
添付された文書ファイル
スパムメールにはRTF形式の文書ファイル「Gift.rtf」が添付されていました。
ファイルはFIFA2018のグッズの注文書のような内容でした。
- 添付ファイルのMD5は「4528e7682c6d59d9b091aef6345a990e」です。この記事を書いている時点ではVirustotal上にはアップロードされていません。
- 本文中は「www[.]metigojp[.]com/news.html」へのハイパーリンクが埋め込まれていました。
- ファイル内で何らかの脆弱性を用いているとみられ、一部のセキュリティ製品がこのファイルを検出しました。
更新履歴
- 2018年7月6日 PM 新規作成
*1:経済産業省の偽サイトが出現し一時騒然 アクセスでウイルス感染の恐れ、5日午後までに削除される,キャリコネニュース,2018年7月5日
