気象庁の発表

2019年11月6日 [PDF] 気象庁の報道発表を装った迷惑メールにご注意下さい

• 気象庁の報道発表を装った内容で迷惑メールが届いたという情報提供が最近あった。*1
• メール文中には偽のアプリのダウンロードを促す記述がある。
• このメールを通じて金銭的被害が生じた場合は最寄りの警察署に被害届を出してほしい。

スパムメールからマルウエア感染の流れ

• スパムメールからマルウエアに感染するまでの流れは次の通り。（一部推測（？）の箇所を含む）
• スパム送信元、URL記載先、不審ファイル設置先といずれも複数の組織のサーバーが不正アクセスを受けるなどして侵害されていた恐れがある。

報道発表を装った不審メール

気象庁やTwitterに上がっている投稿*2 *3 *4によれば次のメールが届いている模様。（電話番号は一部マスキングしています）

• 不審メールは2019年11月6日に届いたとする投稿のみ確認。時間は朝から夕方までとバラバラ。
• 送信元アドレスに使われているドメインjs-corp.netは水産加工品などを小売りしている企業で使用されているドメイン。Twitterに投稿された画像を見る限り、FROMアドレスの詐称を行われているわけではなく、実際に不審メール送信の踏み台にされている可能性がある。
• 電話番号はWebサイト上では掲示されていないのか、Googleの検索などでかかることはなかった。気象庁の代表電話番号は03-3212-8341。

URL記載先のサイト

気象庁の。
リダイレクト先・・ pic.twitter.com/DuxINBqKAx

— watoly (@wato_dn) November 7, 2019

• メール文中に記載されたドメインeverfree-inc.jpはWeb制作などを行う企業のWebサイトのもの。
• jma.phpというPHPファイルが設置されているため、このサイトも侵害されている可能性がある。
• クエリストリングにBASE64でエンコードされたらしき文字列が付帯しており、ユニークなものが付帯されているように見受けられる。
• jma.phpにアクセスするとスクリプトファイルが動作したようなロシア語表記の画面が表示される。

• 何も指定してない場合は「Unknown request type」、クエリストリングに適当な文字列を渡すと「Unable to decode URL !」と表示された。
• 処理が進むクエリストリングを渡すとJP共済生協のサイトwww.postlife.or.jpにリダイレクトされる。
• JP共済生協のサイトに接続するとISOファイル「JMA_Weather_Apps.iso」が落ちてkita。

• JMA_Weather_Apps.isoの中にはJMA_Weather_Apps.exeが含まれており、これを実行するとeverfree-inc.jpに接続するとみられる。
• everfree-inc.jpからjma.exeをダウンロード。実行されていればさらにhockeysministries.orgに接続する。

参考情報

• 2019/11/06（水） 気象庁を騙る不審メールの調査 - bomb_log

更新履歴

• 2019年11月7日 AM 新規作成
• 2019年11月8日 PM URL等の情報が確認できたため、検体等の情報を追記