piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

トーケンや日東印刷、サーブコープをなりすましたスパムメールをまとめてみた

インシデントまとめ

2015年10月27日頃より、株式会社トーケンや日東印刷株式会社からの請求やサーブコープのFAX通知を偽装したスパムメールが確認されています。ここでは関連情報をまとめます。

公式発表

トーケンや日東印刷(同名の会社)よりなりすましメールに関する注意喚起が掲載されています。

株式会社トーケン

※ 架空メールにつきまして
 
2015年10月27日
弊社を名乗り「請求書」という内容で架空メールが多数の方に送られているようですが、弊社からそのようなメールを送った事実もなく一切関係ありません。
現在、原因調査中ですが、このようなメールを受け取られた方は、添付ファイルを開かず、削除していただくことが良いと思われます。どうぞご注意ください。
 
【追記】2015年10月28日
弊社の名前を語り、多数の方に架空メールが送信されたことについて、弊社が契約しているサーバーの管理者に確認したところ、弊社サーバーへの不正アクセスはなく、弊社サーバーからメールが送信された形跡も一切関係ありませんでした。
メールに添付されていたWordファイルについては、インターネットバンキングに係る不正送金を目的としたウイルスであることが警察への相談で判明しました。同メールを受信した場合、ファイルを開かず削除するようにとのことでした。
今後、警察からも注意喚起のため、情報が発信されるとのことですので、ご確認のうえ、ご注意ください。

http://www.token-web.com/


日東印刷株式会社

弊社になりすました虚偽メール(ウィルス付)配信の件
 
平素より格別のお引き立てを賜り、誠にありがとうございます。
さて、平成27年10月27日朝方より、弊社名を名乗り、件名「請求書」等の虚偽の内容のメールが何万通も配信されました。
 
当初、不正アクセスを疑い、アカウントを停止いたしましたが、調査の結果不正アクセスの事実はなく、別のサーバーから弊社に
なりすまして配信していることが判明しました。
 
すでに警察に被害届を出し、28日現在配信は止まっているようですが、未知の相手の悪意を止める方法がないのが現状です。
 
弊社になりすました虚偽のメールが届いている場合は、開かないで直ちに削除してください。
また、万一開いてしまった場合はウィルス対策ソフト等で駆除されることをお勧めします。
 
平成27年10月28日
日東印刷株式会社
新井 勇司

http://nitto-pri.co.jp/


株式会社日東印刷(なりすまされた日東印刷株式会社と類似した名前の会社)

『日東印刷株式会社』をかたった架空請求につきまして
弊社商号(株式会社日東印刷)に類似した会社名を名乗った架空請求メールが送付されていることを複数確認いたしました。
弊社では電子メールを使用したご請求はしておりません。
このようなメールは、弊社と関わりがございませんことをお伝えいたしますとともに、受け取られた皆様には、ご注意いただきますようお願いいたします。

http://www.net210.co.jp/corporate_profile.html


SERVCORP

解析記事

受信した方やセキュリティベンダより、メールの内容やその脅威について解析した記事が公開されている。

送付されるスパムメール

  • 解析記事や有志の報告によれば27日時点で3種類のスパムメールが確認されている。
  • のっとられた可能性についても言及している記事があったが、確認した範囲では発信元の詐称にとどまり、実際の発信元は海外のサーバーであった。
確認されたスパムメールの例
No 件名 発信元詐称ドメイン 発信元IPアドレス 添付ファイル
1 タンケンー請求書(小)の件です。 nitto-pri.co.jp 200[.]188[.]132[.]28
この他ベトナムのIPという情報あり		 10280.doc
2 請求書 token-web.com 189[.]208[.]143[.]126 2610-099189.doc
3 ファックス受信完了: Fax Received servcorp.co.jp ボリビアのIPという情報あり 2F4A8C1B-9DB6-4749-AA9C-9ED67A419132-574-IF.doc
No.1のメール本文(一部マスク)

〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
〒210-****
神奈川県川崎市川崎区浅田*–**–**
日東印刷株式会社
** **
TEL:044-355-**** FAX:044-355-****
MAIL
****:****_****@nitto-pri.co.jp
    日東印刷:[email protected]
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜

http://eflat.jp/blog/?p=3305
No.2のメール本文(一部マスク)

おはようございます。
請求書の件申し訳ありませんでした。
訂正しましたので、宜しくお願い致します。


*********************************
株式会社トーケン小松本社
管理本部総務部 **
923-0908 小松市浮城町76-1
TEL 0761-21-8818 FAX 0761-21-4078
e-mail **-*****@token-web.com 
     *********-*@token-web.com

*********************************

No.3のメール本文

Pages Received : 1
Time Received : Monday, October 27, 2015 05:55:11 AM Japan Time
Duration : 35
Remote CSID : 06 6252 3155
DID : 9145545

http://www.cis.kit.ac.jp/Notices%252F20151027%252D0001

添付されたマルウェア

  • TrendMicroは感染するマルウェアを「SHIZ」(他社検知名Shifu)として検出。*1
Downloader(Wordファイル)
No ファイル名 SHA256 実行後通信先
1-1 10280.doc 9d32e5a93587ee50d5692839cfb213bdd17eb4e10b5805d76a5af447311c964e blogabp[.]y0[.]pl
(95[.]211[.]144[.]65:80)
1-2 9d32e5a93587ee50d5692839cfb213bdd17eb4e10b5805d76a5af447311c964e blogabp[.]y0[.]pl
(95[.]211[.]144[.]65:80)
1-3 82f29e0dab17ef02433b2e85911f366652ef08e10d466fd08b4fc3c58a068f00 xn--ysand-uua[.]no
(195[.]249[.]40[.]100:80)
2 2610-099189.doc 2060c6e7b2e94d7fa58f5e24c246b7820cc6ec68a3ea19c22db764bf5be55594 copie-nord-2[.]com
(46[.]31[.]193[.]113:80)
3 2F4A8C1B-9DB6-4749-AA9C-9ED67A419132-574-IF.doc 4d2791a12fdb8801a7fa359a1dfd19cc9d01d9834ab44e8980dd883370e11b70 evolvebuildinggroup[.]com
(117[.]55[.]224[.]65:80)
Payload(Shiz本体)
No ファイル名 SHA256 実行後通信先
1 d243ty.exe(drawhor4.exe) 6392d70ba840a221774dd8c03941701963896b74fc5c112ef94be98abd9f4eef analiticworld[.]com
(43[.]251[.]159[.]9)

接続先調査

トップページへアクセスした結果

evolvebuildinggroup[.]com

copie-nord-2[.]com

xn--ysand-uua[.]no

blogabp[.]y0[.]pl

接続できず。

謝辞

このまとめは次の方の調査協力を受けて作成しています。ありがとうございます。

  • @ntsujiさん
  • AJさん

更新履歴

  • 2015年10月28日 AM 新規作成
  • 2015年10月28日 AM FAX通知偽装のメール本文を追加
  • 2015年10月29日 PM 日東印刷の発表を追加

*1:当初Dridexとして検出されていたが、後にShizへ変更された模様