メニュー

外務省職員を発信元と詐称する巧妙な(?)不審メール調査メモ

2017年11月5日 - malware, memo
外務省職員を発信元と詐称する巧妙な(?)不審メール調査メモ

2017年11月2日に外務省より
「外務省職員を発信元と詐称する巧妙な不審メールにご注意ください」
というお知らせが掲載されました。
(魚拓)
今回はそちらの件について調査を行いましたので、その調査結果を共有します。

 

お知らせの内容は以下の通りでした。

外務省職員名を詐称し,ウィルス付きファイルが添付されたメールや,不審なサイトへのリンク先が書かれた不審メールが送信される事例が継続して確認されています。

 不審メールは,その時々に起きている国際情勢を題材としており,かつ,その担当者からのメールを装った極めて巧妙なものとなっています。

 このような「詐称メール」をはじめ,発信元や内容に心当たりのないメール(特に発信元がフリーメールのもの)を受信された方々におかれましては,添付ファイルを開いたり,リンクをクリックされたりせずにメールごと削除なさるようお願いいたします。

 なお,外務省では,第三者中継(発信元を隠すために,関係のない第三者のサーバを中継して発信する)されないメールサーバの設定や,ウィルス感染メールを発信しないようなウィルス対策,監視の強化などセキュリティにも十分配慮しておりますが,引き続き対策を強化していく考えです。

 
上記、内容に合致しそうなファイルを探したところ以下のMSGファイルが発見されました。
(注)外務省からの発表と、このファイルがリンクする保証はなく、あくまで推測です。

このファイルはDDE(Dynamic Data Exchange)攻撃を行うものであると考えられます。
ファイルを実行した結果以下のようなポップアップが表示されました。

上記ポップアップに対して「はい」を選択すると以下のようなポップアップが表示されました。

こちらで「はい」を選択すると外部と通信を始めました。
(いずれかにおいて「いいえ」を選択すると外部との通信は行われず攻撃は失敗しました)

また、このMSGファイルをEMLファイルに変換しファイル内を確認したところ
mshta.exeを利用しようとしていることと、今回の通信先が記載されている箇所を発見できました。

発見されたファイルについての通信先を含む情報は下記の通りです。

発見されたファイル情報
項目名 内容 備考
ファイル名 =?UTF-8?B?44CM5pel57Gz5a++6Kmx44CN6Z2e5YWs6ZaL5Lya6K2w44CA5aCx5ZGKLm1zZw==?= 左記ファイル名はUTF-8であるがデコードすると
「日米対話」非公開会議 報告.msg となる。
ファイルハッシュ値 MD5: c4881f4e315ec531c57e5e3d2a274a9d
SHA-1: 5adc319907b0466b9e53ebb6726a5868b7ff8206
SHA-256: 76b1f75ee15273d1226392db3d8f1b2aed467c2875e11d9c14fd18120afc223a
MSGファイル内の宛先アドレス T●●●●●.K●●●●●@mofa.go.jp 実在するアドレスの可能性があるため一部伏字としております。
件名 「日米対話」非公開会議 報告
本文 平素より、言論NPOの活動にご理解とご協力を賜り、誠
にありがとうございます。

さて、昨日、言論NPOが主催する「日米対話」(助成:
ヘンリー・ルース財団(米国))を開催しました。

北朝鮮の核脅威の解決と北東アジアの平和をどう実現するのか」をテーマにした日米対話を都内の国際文化会館で開催しました。

 日本側からは宮本雄二氏(元駐中国大使)、西正典氏(元防衛事務次官)、香田洋二(元海上自衛隊艦隊司令官)ら、米国側からはダグラス・パール氏(カーネギー国際平和財団副所長)、マーク・リッパート氏(前駐韓大使)、ジェニー・タウン氏(「38ノース」編集長兼プロデューサー)ら北東情勢と防衛問題に詳しい各氏が顔を揃えました。

北朝鮮の核保有は認めず、米国の軍事行動も抑えることは両立可能か

 まず、午前中に非公開会議が行われ、司会を務めた言論NPO代表の工藤泰志が、「北朝鮮の核保有は認めないが、米国の軍事行動も抑える。この二つの目的を両立させることは可能か。それを可能にするためには何をなすべきか。この連立方程式を解くために本音で議論し、意見のすり合わせをしたい」と挨拶しました。

 工藤から問いかけられた難問に対して、日本側からは「東アジアで安全を確保するには、いかに中国を巻き込んで解決するか、日米間での調整が必要になる。両国が意見を合わせて、同じ考え方で対処すれば、それが中国への圧力にもなる」と、これまで北朝鮮の後ろ盾で、先の共産党大会で世界の強国を目指すと宣言した習近平総書記率いる中国の存在を指摘。そして、「本来なら、今回のような対話を政府レベルで進めていくべきだが、北朝鮮に対しての出口戦略として非核化への条件を出し、それを呑まなければ圧力を強化していき、最終的に条件を受けさせるしかない。トランプ大統領に果たして出口戦略があるのか、一番心配している」と、米側に質問を投げかけました。

 これに対して米国側からは、様々な意見が出されました。

 「制裁をいろいろやっているが、効果が出るのは、半年から一年はかかるのではないか。交渉も現実的にすぐ出来るとは思わない。我々としては、その間に防衛能力を高めるべきで、同盟国である日韓への拡大抑止のため、戦術核とか核戦略を話し合うのも大切だ」。

 「米国の出口戦略を考える機運は高まっている。平壌に目を向けてどうするか考えるべきだが、六者協議も再開すべきではないか。オバマ時代も北朝鮮と米国の高官同士は話してきた。米国が高い条件をつけて、対話が出来ないと言われてきたが、そうではない。トラック1.5もトラック2も大事だが、トラック1は重要で、そうした認識のズレやディスコミュニケーションを減らすことが出来る」。

北朝鮮がおとなしくしている裏側には一体何が

 また、韓国から北朝鮮を見てきた関係者からは、「北朝鮮を訪れる外国人は減り、制裁によって現金もなくなり、議論に乗ってくるのではないか。市場の問題も深刻で、一般供給システムも弱体化している」と疲弊する北朝鮮の情勢を指摘しました。

 これに対し、日本側からは、「中国と北朝鮮の関係は良くない。中国にとって北朝鮮は重荷だった。中国とのパイプ役だった張成沢が殺されて、情報チャネルがなくなってしまった。また、昨春の核実験では韓国から何の情報もなかった。金正恩が潰しに掛かった韓国のネットワークを試したのではないか。そういうことからも、北朝鮮の本音を探る回路を私たちは持っているのか」と北朝鮮とのチャネルの薄さを指摘。さらに、「北朝鮮は、これまで東海岸からミサイルを発射していたのを、最近は西海岸などいろいろな場所に移してどこからでも打っており、中国に対し敵意を見せ始めている。金正恩としては、トランプ大統領の発想、行動はまったく理解出来ず、”トランプは、馬鹿だ。常識人のオレはどうしたらいいのか”とでも思っているのではないか。それが今の静寂を生んでいるのでは」と推測する声が上がりました。

日本の有識者は日韓両国の核武装について反対の声が多数

 非公開セッションの最後に工藤は、言論NPOが実施した日本の有識者に行ったアンケートを紹介。「トランプ大統領の北朝鮮核問題への対応を、どう思うか」との問いについて約50%の人が「適切」と返答し、日米同盟がより強固にしたと理解している人は約70%にまで上っています。

 そうした感情を反映しているのか、「日本の核武装の是非」については、8割が反対としているものの、約2割の人が賛成しています。一方、”ソウルを火の海にする”とまで北朝鮮から脅迫を受けている隣国・韓国の核武装に賛成する人は約13%。この数字を上回る賛成の声は何を意味しているのでしょうか。「核保有への態度がぐらつくと、NPT(核拡散防止条約)体制に影響をあたえ、日米同盟も北東アジアで十分な効果を発揮出来なくなるのではないか」と、日本で増えつつある自国防衛のための核武装を危惧する声が挙がりました。さらに、日本が核武装することで、日本は手を汚していいのか、また自分自身の身を切ることになる覚悟があるのか、という防衛関係者の発言もありました。

米朝間で最悪の事態を警告する参加者も存在

 また、別の参加者は、「非核化、非軍事の連立方程式が解ければ、ノーベル平和賞、物理学賞が貰える、それくらい難しい問題だ」と語り、「もちろん軍事行動には反対だが、もし攻撃するなら小さいコストで強く、短く攻撃し、そして引く。そうしないとアフガニスタン、イラクの時のように北朝鮮は地下に潜り、戦いは長期化するだろう」と、あってはならない最悪の事熊に対し警告する参加者もいました。

 こうして忌憚ない意見交換を経て、日米対話は午後からの公開フォーラムに移りました。

────────────────────────────────
 + 特定非営利活動法人 言論NPO 事務局
 + Tel/Fax  03-6262-8772/03-6262-8773
 + URL  http://www.genron-npo.net/
 + Address 東京都中央区湊1丁目1-12 HSB鐵砲洲4階
────────────────────────────────

左記の本文の冒頭部分と署名についてはメルマガが掲載されている以下のサイトをコピーしていると思われる。
http://www.genron-npo.net/mailmagazine/2017/10/11-3.html

また、それ以外の本文については以下のサイトをコピーしていると思われる。
http://www.genron-npo.net/world/archives/6817.html

上記を参考にしたと思われる
北朝鮮の核脅威の解決と北東アジアの平和をどう実現するのか」をテーマにした日米対話を都内の国際文化会館で開催しました。
の部分の冒頭に括弧の始まりが抜けているのはコピーミスであると考えられる。

通信先 http://185.153.198[.]58:8080/LEN69

 

2017年11月6日付で国立大学法人 東京医科歯科大学より注意喚起が出されていました。以下は、そちらの引用です。

2017/11/06 【注意喚起】 外務省職員を騙る不審メールについて


本日、一部の文部科学省関係機関において、外務省の職員を装った不審なメール
が届いている旨の情報提供が有りましたので、注意喚起いたします。

【不審メール情報】
—————————————————————————

差出人 :<名>_<性>0520@yahoo.co.jp
:<名>_<性>01@yahoo.co.jp (現在、上記の 2 パターンが確認されています)

件名 :「日米対話」非公開会議 報告
送信時間 :November 2, 2017 10:23:24 GMT+9

添付ファイル:「日米対話」非公開会議 報告.msg
MD5 :c4881f4e315ec531c57e5e3d2a274a9d
通信先 :185.153.198[.]58:8080
—————————————————————————

ウィルスに感染してしまった場合には、速やかに統合情報機構情報推進課までご 報告願います。

上記情報を整理したものは以下の通りです。

注意喚起情報より抜粋した情報
項目名 内容 備考
差出人 <名>_<性>0520@yahoo.co.jp
<名>_<性>01@yahoo.co.jp
確認されているのは左記の2パターンとのこと。
件名 「日米対話」非公開会議 報告
送信時間 November 2, 2017 10:23:24 GMT+9
添付ファイル名 「日米対話」非公開会議 報告.msg
ファイルハッシュ値 c4881f4e315ec531c57e5e3d2a274a9d
通信先 185.153.198[.]58:8080

情報共有は以上です。
 

【2017/11/10 追記】
国立大学法人 東京医科歯科大学より注意喚起からの情報を追記。

【2017/11/07 追記】
MSGファイルをEMLファイルに変換した内容について追記。

【2017/11/06 追記】
ファイルを実行した際の挙動について追記。

【2017/11/05 初版公開】