2018年11月8日、気象庁は警報等を装った迷惑メールの情報が届超えられているとして、注意喚起を公開しました。ここでは関連情報をまとめます。
公式発表
- 2018年11月8日 [PDF] 気象庁発表の警報等を装った迷惑メールにご注意下さい
【報道発表】(H30.11.8)最近、気象庁発表の警報等を装った迷惑メールが届いたという情報が寄せられております。
— 気象庁 (@JMA_kishou) November 8, 2018
心当たりのないアドレスから届いたメールに不審なリンクがある場合にはアクセスしないようご注意ください。https://t.co/CcqYvRwsHv pic.twitter.com/exB1knNQGN
【再度ご注意を】(H30.11.16)本日再び、気象庁発表の警報等を装った #迷惑メール が届いたという情報が多数寄せられております。本日午前に津波警報を発表した事実はありません。心当たりのないメールに不審なリンクがある場合にはアクセスしないよう、ご注意ください。 https://t.co/H3pU3ymtva
— 気象庁 (@JMA_kishou) November 16, 2018
送信されている迷惑メールの文面例
- 気象庁が2018年11月8日に公開した文面例は以下のもの。
差出人名 | 気象庁 | |
---|---|---|
FROMメールアドレス | alert@jma.go.jp | |
タイトル | 津波警報発表 | |
本文 | 10 時 55 分頃、地震がありました。3メートルを超える津波警報を発表しました。緊急で避難が必要です。避難が必要な地域は、以下の URL から確認してください。 hxxp://***.jma-go.jp/***/tsunami_regions.scr 気象庁:〒100-8122 東京都千代田区大手町 1-3-4 |
- 2018年11月16日にメールの受信報告をした人の文面は以下のもの。*1
差出人名 | 気象庁 | |
---|---|---|
FROMメールアドレス | info@jma.go.jp | |
タイトル | 津波警報発表 | |
本文 | 今日、9時45分ころ、気象庁は地震を記録した。地震の震源地は、牡鹿半島の南東135km、震源の深さ:12kmに位置しています。地震強度(マグニチュード)は7.9と推定されています。 以下の沿岸地域では、3メートル以上の津波が予想されます。 領域の一覧: (マルウェアが落ちてくるハイパーリンク) その領域にいる人は緊急に安全な場所に避難する必要があります。 気象庁:〒100-8122東京都千代田区大手町 1-3-4 |
メールの拡散範囲
2018年11月8日
そういえば早朝の地震があった時間帯に
— 黄色☔🌾🍚🍙 (@2014kanida) November 8, 2018
「津波警報発表」というタイトルで、気象庁を騙るメールが届いていました。常体敬体が入り混じった不自然な文章で
”以下の沿岸領域では、3メートル以上の津波が予想されます”などと
URLをクリックするよう誘導するものでした
どうぞお気をつけください
2018年11月16日
— 鼻から煙出すうちお°⊿° (@uch1o) November 16, 2018
会社のPCメールに気象庁からメールが届いた。
— Rie☆りん (@riejey3) November 16, 2018
おかしいと思ったから開かずに調べた。
「気象庁を装う「津波警報発表」という件名のメールがばらまかれたそうです。リンク先から「tsunami_regions .scr」が降ってきますが、Windowsの方は開かないようご注意ください。マルウェアです。 」だそうです。
関連するリンク
気象庁掲載の文面より、以下のURLが文中に記載されていたものと考えられる。
www.jma-go.jp/jma/tsunami/tsunami_regions.scr
文面では確認していないが、1.exeというファイルも公開されていた。
www.jma-go.jp/jma/tsunami/1.exe
このサーバーは2018年11月12日時点で稼働中。
2018年11月12日時点で次のIPアドレス(Singapore)が返される。
jma-go.jp www.jma-go.jp
47.74.255.111
Alibaba.com LLC AL-3 (NET-47-74-0-0-1) 47.74.0.0 - 47.87.255.255 Alibaba Cloud (Singapore) Private Limited ALICLOUD-SG (NET-47-74-128-0-1) 47.74.128.0 - 47.74.255.255
このドメインのトップページなどにアクセスすると気象庁のWebサイトへ飛ばされる。リダイレクトするJavaScriptにはキリル文字が確認できる。
<script type="text/javascript"> if (top.length==0) //проверка на наличие iframe { var pLink="page2.htm" document.cookie="pLink="+pLink //ставим куки window.location = "http://www.jma.go.jp/jma/index.html" //редирект } </script>
キリル文字 | 意味(翻訳サイト利用) |
---|---|
проверка на наличие | check for availability |
ставим куки | set cookies |
редирект | redirect |
関連するファイル
リンクをクリックすると以下のスクリーンセーバー形式のファイル(tsunami_regions.scr)が落ちてくる。11月10日頃にファイルが変更された模様。
No | 発見日 | ハッシュ(SHA256) | |
---|---|---|---|
1 | 2018年11月8日頃 | 27aa9cdf60f1fbff84ede0d77bd49677ec346af050ffd90a43b8dcd528c9633b | |
2 | 2018年11月10日頃 | 42fdaffdbacfdf85945bd0e8bfaadb765dde622a0a7268f8aa70cd18c91a0e85 | |
3 | 2018年11月16日頃 | fb3def9c23ba81f85aae0f563f4156ba9453c2e928728283de4abdfb5b5f426f |
アイコンは以下のもの。No.1のファイルはここで公開されているものと同じ画像に見える。
No.3のアイコンはさらに変化。
tsunami_regions.scr、アイコンがQに。。🐘 pic.twitter.com/KPxL1tD2WX
— piyokango (@piyokango) November 16, 2018
更新履歴
- 2018年11月12日 AM 新規作成
- 2018年11月16日 PM 続報追記