2017年1月17日から「ウイルス付メール」が拡散されているとして、JC3や警視庁が注意喚起を行いました。ここでは関連情報をまとめます。
1月に確認されたウイルス付メール
- JC3が注意喚起を行っていたウイルス付メールは18件です。いずれも(エラーなく動作すれば)URSNIFに感染するものでした。
- 2017年1月に確認された情報は次のGoogleスプレッドシートにまとめています。
https://docs.google.com/spreadsheets/d/1e8nzAb25yY8wb-yLixNjohgyE4T6mAcMQVr19bakzY4/edit?usp=sharing
メール送信日
ウイルス付メールが送信された日付は次の通りです。
- 2017年1月17日 火曜日
- 2017年1月18日 水曜日
- 2017年1月19日 木曜日
- 2017年1月23日 月曜日
- 2017年1月24日 火曜日
- 2017年1月25日 水曜日
件名
今回拡散されていた件名は次の通りです。使いまわされている件名もあります。
御請求書 取引情報が更新されました 【発注書受信】 備品発注依頼書の送付 依頼書を 送付しますので 発注依頼書 (株) 発注書 (カッコ株は環境依存文字にて表記されています) Fwd: New Order ****-17-0**hipping by "DHL" 添付写真について 写真 写真のみ 不足し 写真 ご送付いただきまして ありがとうございます 様写真 様写真お送りします Re: 写真ありがとうこざいます 注文書・注文請書 のご注文ありがとうございます ダイレクトメール発注 積算書 写真を添付致します 添付致し 事故状況 事故写真です JPG [1/8] I II III 発注書を作成しましたのでお送りします 送付 12月報告書を送りますので 2017-2016 12.2016 キャンセル完了のお知らせ Re: Fwd: FW: (空白)
通信先
一次検体の通信先
添付されたマルウェアを実行した際に接続する(可能性のある)接続先は次の通りです。
luisserranoiraola.com juanpedroperez.com www.seniorenakademie-berlin.de seehasenachter.de rucnitkani.cz www.cp4.de
二次検体の通信先
ダウンロードされたマルウェアが実行された場合に接続する通信先は次の通りです。
grohotibombivasebut45.com iwdiwjdiwjdwdwd198.com kgnene199meiwww.com rodnenekieh120.com
参考情報
今回参考にした情報は次の通りです。
日本サイバー犯罪対策センター
警視庁犯罪抑止対策本部
【サイバー犯罪対策課】
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年1月18日
ウイルス付メールが拡散中!メール件名は「添付写真について」。このメールに添付されているファイルは写真を装ったウイルスですので、決して開かないでください。
【サイバー犯罪対策課】
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年1月18日
ウイルス付メールが拡散中!件名は「写真」「写真のみ 不足し」「写真 ご送付いただきまして ありがとうございます」「様写真」「様写真お送りします」「R e:写真ありがとうございます」。添付ファイルは写真等を装ったウイルスです。ご注意ください!
【サイバー犯罪対策課】
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年1月18日
ウイルス付メールが拡散中!件名は「注文書・注文請書」。添付書類の確認や返信を求めいる内容となっていますが、添付ファイルは書類等を装ったウイルスです。ご注意ください!
【サイバー犯罪対策課】
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年1月19日
ウイルス付メールが拡散中!件名は「の注文ありがとうございます」「ダイレクトメール発注」。メールの本文は、国内の実在の配送業者を使用したとする偽の商品発送通知で、文書ファイルを装ったウイルスが添付されています。十分ご注意ください。
【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「積算書」。添付ファイルはエクセル文書を装ったウイルスです。ご注意ください。また、本文に記載されている電話番号はランダムに数字を組み合わせたデタラメなもので、犯罪者とは無関係と思われますので、連絡をしないようにしてください。
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年1月19日
【サイバー犯罪対策課】
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年1月19日
ウイルス付メールが拡散中!件名は「写真」「写真のみ 不足し」「写真 ご送付いただきまして ありがとうございます」「様写真」「様写真お送りします」「R e:写真ありがとうございます」。添付ファイルは写真等を装ったウイルスです。ご注意ください!
【サイバー犯罪対策課】ウイルス付メールが拡散中!件名は「事故状況」「事故写真です」「JPG[1/8]」。本文は添付写真の確認を求める内容になっていますが、添付ファイルは写真を装ったウイルスです。危険ですので、興味本位で添付ファイルを開いたりしないよう、十分ご注意ください。
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年1月23日
【サイバー犯罪対策課】
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年1月24日
ウイルス付メールが拡散中!件名は「I」「II」「III」。本文がない件名のみのメールで、添付ファイルは画像を装ったウイルスです。ご注意ください!
【サイバー犯罪対策課】
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年1月24日
ウイルス付メールが拡散中!件名は「発注書を作成しましたのでお送りします」「送付」。本文は添付書類の確認を求める内容となっていますが、添付ファイルはPDF文書を装ったウイルスです。ご注意ください!
【サイバー犯罪対策課】
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年1月25日
ウイルス付メールが拡散中!件名は「取引情報が更新されました」「【発注書受信】」「備品発注依頼書の送付」「依頼書を」「送付しますので」「発注依頼書」「(株)発注書」。添付ファイルは書類等を装ったウイルスです。ご注意ください!
【サイバー犯罪対策課】
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年1月26日
ウイルス付メールが拡散中!件名は「キャンセル完了のお知らせ」。本文は添付書類の確認を求める内容となっていますが、添付ファイルは書類を装ったウイルスです。ご注意ください!
【サイバー犯罪対策課】
— 警視庁犯罪抑止対策本部 (@MPD_yokushi) 2017年1月26日
ウイルス付メールが拡散中!件名は「Re:」「Fwd:」「FW:」。本文は添付写真等の確認や返信を求める内容となっていますが、添付ファイルは画像等を装ったウイルスです。ご注意ください!
トレンドマイクロ
- 2017年1月17日 2017年もマルウェアスパムの攻撃は継続中、新たな「火曜日朝」の拡散を確認
無題な濃いログ
- 2017年1月17日 請求書? 発注依頼書? 迷惑メールの添付ファイルjsでウイルス感染被害
- 2017年1月18日 様写真? 迷惑メールの添付ファイルsvg拡張子でウイルス感染被害
- 2017年1月20日 積算書? 注文書・注文請書? 迷惑メールjsファイル開いてウイルス感染する裏側
- 2017年1月23日 添付致し? 躯体写真? 迷惑メールjsファイル開いてウイルス感染 PowerShell悪用も
- 2017年1月24日 12月報告書? 発注書受信? 迷惑メールzipのjsファイルでウイルス感染
- 2017年1月25日 キャンセル完了のお知らせ? 迷惑メールzipでウイルス感染 wsfファイル注意
My Online Security
- 2017年1月17日 Japanese language invoice malspam delivers ursnif banking Trojan
- 2017年1月17日 Spoofed Japanese DHL deliver note delivers malware
- 2017年1月18日 more Japanese malspam delivering ursnif
- 2017年1月24日 purchase orders Japanese language malspam continues to deliver Ursnif banking Trojan
- 2017年1月25日 Japanese language malspam continues to deliver ursnif banking trojan
Malware-Traffic-Analysis.net
更新履歴
- 2017年1月27日 AM 新規作成
