piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

気象庁のなりすましメールについてまとめてみた

2018年11月8日、気象庁は警報等を装った迷惑メールの情報が届超えられているとして、注意喚起を公開しました。ここでは関連情報をまとめます。

公式発表


送信されている迷惑メールの文面例

  • 気象庁が2018年11月8日に公開した文面例は以下のもの。
差出人名 気象庁
FROMメールアドレス alert@jma.go.jp
タイトル 津波警報発表
本文 10 時 55 分頃、地震がありました。3メートルを超える津波警報を発表しました。緊急で避難が必要です。避難が必要な地域は、以下の URL から確認してください。
hxxp://***.jma-go.jp/***/tsunami_regions.scr
気象庁:〒100-8122 東京都千代田区大手町 1-3-4
  • 2018年11月16日にメールの受信報告をした人の文面は以下のもの。*1
差出人名 気象庁
FROMメールアドレス info@jma.go.jp
タイトル 津波警報発表
本文 今日、9時45分ころ、気象庁地震を記録した。地震震源地は、牡鹿半島の南東135km、震源の深さ:12kmに位置しています。地震強度(マグニチュード)は7.9と推定されています。
以下の沿岸地域では、3メートル以上の津波が予想されます。
領域の一覧: (マルウェアが落ちてくるハイパーリンク
その領域にいる人は緊急に安全な場所に避難する必要があります。

気象庁:〒100-8122東京都千代田区大手町 1-3-4

メールの拡散範囲

2018年11月8日
  • 報道によれば11月8日に東北地方の市役所や一般市民から気象庁あてに連絡が入っている。*2
  • 11月8日時点で気象庁はこのメールによる実害は確認していない。


2018年11月16日


関連するリンク

気象庁掲載の文面より、以下のURLが文中に記載されていたものと考えられる。

www.jma-go.jp/jma/tsunami/tsunami_regions.scr

文面では確認していないが、1.exeというファイルも公開されていた。

www.jma-go.jp/jma/tsunami/1.exe

このサーバーは2018年11月12日時点で稼働中。
2018年11月12日時点で次のIPアドレス(Singapore)が返される。

jma-go.jp
www.jma-go.jp
47.74.255.111
Alibaba.com LLC AL-3 (NET-47-74-0-0-1) 47.74.0.0 - 47.87.255.255 
Alibaba Cloud (Singapore) Private Limited ALICLOUD-SG (NET-47-74-128-0-1) 47.74.128.0 - 47.74.255.255

このドメインのトップページなどにアクセスすると気象庁のWebサイトへ飛ばされる。リダイレクトするJavaScriptにはキリル文字が確認できる。

<script type="text/javascript"> 
 if (top.length==0)   //проверка на наличие iframe 
 { 
 var pLink="page2.htm" 
 document.cookie="pLink="+pLink  //ставим куки 
 window.location = "http://www.jma.go.jp/jma/index.html"   //редирект 
 } 
 </script>
キリル文字 意味(翻訳サイト利用)
проверка на наличие check for availability
ставим куки set cookies
редирект redirect

関連するファイル

リンクをクリックすると以下のスクリーンセーバー形式のファイル(tsunami_regions.scr)が落ちてくる。11月10日頃にファイルが変更された模様。

No 発見日 ハッシュ(SHA256)
1 2018年11月8日頃 27aa9cdf60f1fbff84ede0d77bd49677ec346af050ffd90a43b8dcd528c9633b
2 2018年11月10日頃 42fdaffdbacfdf85945bd0e8bfaadb765dde622a0a7268f8aa70cd18c91a0e85
3 2018年11月16日頃 fb3def9c23ba81f85aae0f563f4156ba9453c2e928728283de4abdfb5b5f426f

アイコンは以下のもの。No.1のファイルはここで公開されているものと同じ画像に見える。

No.3のアイコンはさらに変化。

更新履歴

  • 2018年11月12日 AM 新規作成
  • 2018年11月16日 PM 続報追記