メニュー

文部科学省を装って送られた「中間-事後評価に係る様式201605.zip」 調査メモ

2016年5月28日 - malware
文部科学省を装って送られた「中間-事後評価に係る様式201605.zip」 調査メモ

2016年5月24日付で「慶應義塾湘南藤沢ITC」より「標的型攻撃メールに関する注意喚起」というお知らせが出されました。そこにあった内容は、周囲で確認されている「ばらまき型」では見られないようなものであり、特定の組織や人物などを狙ったような印象を受けるものでしたので気になり可能な範囲で調査を行いました。

気になった内容ですが「慶應技術湘南藤沢ICT」から出されているお知らせは26日付で更新されており、公開当初の内容と比較すると[差出人]の項目の内容の一部がマスクされ、[添付ファイル]の項目の内容が変更されていました。以下の表では変更があった項目についてはと変更前と変更後を併記します。

項目名 変更前 変更後
件名 【文科省(ご連絡)】新学術領域研究の中間・事後評価について
宛先 業務用の個人アドレス宛
差出人 [email protected] <[email protected]>
※mext.go.jpをかたって、@saga-jimin.comから出されているようです
[email protected] <*****-saga-saga-saga.com@saga-*****.com>
のような差出人となっています。
添付ファイル 中間-事後評価に係る様式201605.zip 中間-事後評価に係る様式20160524.zip

また、同様の内容の注意喚起が「中央大学」「首都大学東京」からも出されていました。

中央大学 多摩ITセンター
首都大学東京 教育研究用情報処理システムの総合サイト

上記の2つの内容は概ね同じ内容ではあるのですが共通点として「他大学などで確認」という表現が用いられています。「慶應義塾湘南藤沢ITC」では使われていなかった表現であるためこの2つの大学は注意喚起のみで実際には、同様の攻撃メールを受けているわけではないのではないかと推測できます。
佐賀新聞によると送信されたメールについては下記のように報道。

自民党県連によると、25日夕に情報処理推進機構から「ウイルスメールに県連のアドレスが使われている」との連絡があり、サーバーを管理する委託業者に調査を依頼した。24日午後8時35分に外部から不正アクセスされた形跡があったが、ウイルス感染や情報流出などの被害はなかった。

慶応大に文科省装うウイルスメール 自民党佐賀県連のアドレスも表記、悪用か魚拓

 
NHKでは下記のように報道。

自民党佐賀県連によりますと、25日夕方、東京にある情報処理技術の専門機関から「ウイルスが仕掛けられたメールに県連のアドレスが使われているのではないか」という連絡を受けたため、専門の業者に調査を依頼したということです。
その結果、24日午後8時35分にメールアドレスなどを管理しているサーバーに何者かが不正にアクセスしたとみられる痕跡が見つかったということです。

文科省装うウイルスメール 慶応大職員に届く魚拓

 
メールや添付ファイルを開封したか否かについて上記の「佐賀新聞」では否定されていますが
「YOMIURI ONLINE」では下記のように「開封」と表現されています。

一部の職員が開封したが、同大のセキュリティーシステムが作動したため、情報流出などは確認されていないという。

ここでいう「開封」がメールの内容を確認したのみのことを指すのか、添付ファイルを開いたことを指すのかは不明です。

文科省装うウイルスメール、慶応大教職員6人に

 
また、「NHK」と「YOMIURI ONLINE」ではそれぞれ下記のように送信されたメールの本文ついて報道しています。

また、文部科学省によりますと、問題のメールには実在する文部科学省の担当者の名前が書かれていて、この担当者が過去に送ったメールの本文が、悪用されたとみられるということです。

文科省によると、同省職員は昨年8月、同じタイトルのメールを研究者らに送付しており、何者かに悪用された疑いがあるという。

攻撃者はこのメールに使われた本文について何かしらの方法で入手する手段を有していたことが推測できます。

 
今回、送信されたメールの文面は下記の通りです。
Piyolog「2016年5月の文科省なりすましメールについてまとめてみた」の2016年5月26日放送NHKシブ5時より文字起こしから引用)

平成26・27・28年度採択研究領域の領域代表者各位
  
お世話になっております。
************************
 
本年度、中間・事後評価のスキームを見直すとともに、
評価報告書の様式の見直しを実施いたしましたので、
来年又は再来年に中間評価又は事後評価を実施することになります
先生方に、本変更点についてご報告させていただきます。
変更点につきましては、添付の事務連絡をご参照ください。
 
また、
実際の評価時期に作成依頼する際には変更の可能性がございますが、
本年度は使用いたしました様式をご参考までに添付いたします。
特に、今回より追加いたしました別添の”データシート”については、
来年以降は”全研究期間”について記載いただくことを予定しておりますので、
現時点よりデータ収集・整理についてご準備いただけますようお願いいたします。
 
なお、評価に関する例年のスケジュールは以下の通りとなっております。
5月半ば   評価報告書(添付のもの)の作成を依頼(領域代表者←文科省)
6月半ば   評価報告書の提出(領域代表者→文科省)
9月~10月 ヒアリング
12月~1月 評価結果通知
特に、評価報告書の提出時期と、成果報告書(様式C-19及び冊子体の両方)
の提出時期が近接しておりますので、来年は例年5月半ばの作成依頼を早めに行い

先生方の準備期間に余裕が出るように配慮する予定ではありますので、
ご対応方よろしくお願いいたします。
 
今後ともどうぞよろしくお願い申し上げます。
 
 
<本件担当>
 
文部科学省研究振興局学術研究助成課
************************
************************

(*部分は報道では処理されていた部分。行数は不一致の可能性あり)

 

以下は「VirusTotal」にアップロードされていた「中間-事後評価に係る様式201605.zip」の情報です。

項目名 内容 備考
ファイル名 中間-事後評価に係る様式201605.zip
MD5 f74c89aa85c35bf2927430149b412d31
SHA1 c634cc3680d5e439fb6e14f50d99ebbedd4403d1

また、以下は上記、添付ファイルを展開した後のファイルの情報です。

項目名 内容 備考
ファイル名 中間-事後評価に係る様式201605.exe アイコン画像
icon

プロパティ詳細画像
p

MD5 ACC2E5F8ABD7426574712FE6A13C2342
SHA1 8CF69187295A000B92B7EC362D61A480872CB42B
通信先 www.microsoftupgrade.instanthq.com:80
www.microsoftupgrade.instanthq.com:53
www.microsoftupgrade.instanthq.com:443
www.microsoftupgrade.instanthq.com:8080
10.0.0.2
[www.microsoftupgrade.instanthq.com]のIPアドレスと
[www.officeproducts.authorizeddns.org]のIPアドレスが同一であったが関連は不明。
また、それぞれのドメインはDDNSのドメインである。(*1表外の図参照)

(*1)
m

上記、ファイルを実行した結果は下図の通りで新規にMicrosoft Wordが起動されました。
newdoc

また下記にファイルが作成、実行されていました。
C:\Users\ユーザ名\AppData\Local\Temp\NvBackend.exe
C:\Users\ユーザ名\AppData\Local\Temp\detoured.dll
C:\Users\ユーザ名\AppData\Local\Temp\NvBackend.dat

項目名 内容 備考
ファイル名 NvBackend.exe デジタル署名情報
nvb
MD5 8FB8FB1EBEAAB655875964FB420761CE
SHA1 7496C3A48C8FC6EEF7DD58D2AB55684969CCE71F
項目名 内容 備考
ファイル名 detoured.dll
MD5 A3222E10AE62EE85D5094FB8F57C2445
SHA1 1B6D8458DB8C6A7AE4DD05B46A0B4ACDA6D04B20
項目名 内容 備考
ファイル名 NvBackend.dat
MD5 4CDF40EE2D2CF101EE3EEC5069FE1BC0
SHA1 99DE90873AA0953AFA33C1F7B121A15D2B072AFC

 
その後、外部と通信していたプロセスは下図の通りです。
netmon

【2016/05/31 午前】
C:\Users\ユーザ名\AppData\Local\Temp\NvBackend.dat 情報を追記

【2016/05/28 午後】
なりすましメールの送信元と考えられる自民党佐賀県連に関する報道について追記
「YOMIURI ONLINE」の報道に関する文章を追記
送信されたメールの本文を追記

【2016/05/28 午前】
初版公開