【2017/7/25 17:18】標的型攻撃メールに関する注意喚起

昨日の標的型攻撃メールと同様と思われる標的型攻撃メールの受信を観測しております。

検体が入手できていないので、本文等は不明ですが、添付ファイルが以下のものは危険と思われます。

  • ems_XXXXXXX.zip (XXXXXXXは[0-9]+)
  • 新振込先について_XXX XXXXXXX.zip (XXXXXXXは[0-9]+)
  • ems_XXXXXXX.docx (XXXXXXXは[0-9]+)
  • 新振込先について_XXX XXXXXXX.docx (XXXXXXXは[0-9]+)
  • InvoiceXXXXXXX.zip(XXXXXXXは[0-9]+)

2017/7/25 10:01追記:
検体が入手できましたので下に本学で受信中の標的型攻撃メールのサンプルを示します。


  • Fromは From: 佐々木 康人 <海外のメールアドレス> の組み合わせが確認されています
  • Subject及び本文は以下が確認されています。
    Subject: Re:【お振込口座変更のご連絡】

    経理ご担当者様

    いつも大変お世話になっております。

    株式会社ジャパントラストの佐々木です。

    今月分のご入金より振込口座の変更をさせていただきたいのですが、

    ご対応可能でしょうか?

    新たな振込先に関しましては、

    現在、手続き中で7月25日に完了予定となります。

    本日中に仮のご請求書データをお送り致しまして

    手続き完了次第、正式なご請求書データをお送り致します。

    急なご連絡になってしまい大変申し訳ございませんが、

    ご対応をいただけますと大変助かります。

    -- 今後とも何卒よろしくお願いいたします。

    ━━ JapanTrast ,Inc. ━━━━━━━━━
  • 添付ファイルは、新振込先について_XXXXX.zip (XXXXXは[0-9]+)で展開するとGDDR_[GGFD]_XXXXXXX.js (XXXXXは[0-9]+, md5: 069643fb0f450afab3fde7d465aabde1, d9bfb781858301260ca9b7fb57619c97等)が現れます。これは難読化されたJavaScriptファイルでマルウェアのダウンローダと思われます。

  • Fromは From: 佐々木 康人 <海外のメールアドレス> の組み合わせが確認されています
  • Subject及び本文は以下が確認されています。
    Subject: RE:[EMS_3276136192]

    拝啓

    配達員が注文番号( 9702248214 )の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。
    従ってご注文の品はターミナルに返送されました。
    ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。
    このメールに添付されている委託運送状を印刷して、最寄りの郵便局 日本郵政取り扱い郵便局までお問い合わせください。

    敬具
    EMS(国際スピード郵便) - 郵便局 - 日本郵政
  • 添付ファイルは、ems_XXXXX.zip (XXXXXは[0-9]+)で展開するとGDDR_[GGFD]_XXXXXXX.js (XXXXXは[0-9]+, md5: a3d03c5b5a638fd9f14a0675af203051, cca1e0b2191913f13270139ea5b56688等)が現れます。これは難読化されたJavaScriptファイルでマルウェアのダウンローダと思われます。

  • Fromは日本のメールアドレスが確認されています。
  • SubjectはSubject: 請求書で、本文はありません。
  • 添付ファイルは、XXXXX.xls (XXXXXは[0-9]{5}, md5: 31bd38fd58ae9c26aa8cc8a16a48b16c)で、これはマルウェアのダウンローダです。

該当するメールを受信した場合はただちに破棄してください。添付ファイルを展開してクリックしてしまった場合は、PCのLANケーブルを抜いてただちに情報基盤センターまでご連絡下さい。