遠隔操作ウイルス作者は日本語に精通

 大阪と三重の男性がインターネットに犯罪予告の書き込みをしたとして逮捕された後に、該当書き込みはウイルス感染による遠隔操作と判明した事件に関連して、シマンテックは2012年10月11日、同社が入手した検体の解析を公開した。ウイルスの作成者は日本語に精通した人物である可能性が高いとしている。

 シマンテックは、遠隔操作のために仕込まれたウイルスは目新しいものではないとしながら、今回の検体解析から、暗号化通信の処理に使われる文字列が日本語で書かれ、またプログラムが日本語のWebサイトからコピーされたことを明らかにした。現状ではこのウイルスには2バージョンあり、それぞれ"2.23"と"2.35"となっていることから中途バージョンのウイルスが存在する可能性や、現状感染源として確認されているのはトロイの木馬タイプの"iesys.exe"だけだが他の名称が存在する可能性もあると指摘している。

 今回のウイルスをシマンテックでは、バックドアタイプのBackdoor.Rabasheetaと定義し、電子メール中の疑わしいリンクやWebサイト上の不審なリンクはクリックしないよう、また添付ファイルを不用意に開かないように注意を促している。

ウイルスプログラム内の日本語(シマンテックの解説より引用)。
[画像のクリックで拡大表示]

内閣府職員のメールを詐称したウイルスメール

 内閣府は2012年10月11日、内閣府職員のメールアドレスを詐称した電子メールが10日の夕刻以降、各方面に配信されたことが判明したと発表した。問題のメールを解析したトレンドマイクロは12日、このメールに添付されたファイルにバックドアタイプのウイルスが仕組まれていることを明らかにした

 問題のメールは内閣府に実在する人物を詐称し、業種的に関連性のない複数の組織にも送られている。件名は「御依頼の資料について」となっていて、本文では、詳細については添付ファイル「エネルギー.ZIP」を確認するよう促している。添付ファイルには、バックドアタイプのウイルス「BKDR_POISON.AB」が仕組まれているので不用意に開くと感染し、利用しているコンピューターが遠隔操作される危険性がある。

 「BKDR_POISON.AB」はPoisonIvyという専用ツールによって作成されたもので、2012年上半期の日本国内で確認されている標的型攻撃の約40%で利用されている。

内閣府からの送信を偽装したメールの一例(トレンドマイクロの解説より引用)。
[画像のクリックで拡大表示]

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら