東日本大震災直後から震災情報を装ったウイルスメールが出回っています。その中のひとつを解析し、犯人の痕跡を調査しました。WORD形式の添付ファイルは日本語で放射能情報が書かれていましたので、日本人を標的とした攻撃であることはほぼ間違いありません。
攻撃の流れはだいたい以下のようになっています。

outline

添付ファイルを開くとWORDの脆弱性を利用してマルウェアに感染させ、キー入力を監視したり、ファイルを盗んだりします。
この一連の攻撃でいくつかの痕跡を調査すると、ある共通点が見えてくることがわかります。

痕跡1: WORDファイルのフォント
マルウェアに感染させた後、放射能情報が書かれたWORDファイルが起動します。WORDファイルのフォントを調査したところ、「simsun/宋体字」という日本ではあまり見かけないフォントが使われていました。

simsun

痕跡2: 攻撃コードファイルのプロパティ
プロパティには日本語ではない漢字が使われていました。

property2

痕跡3: 攻撃コードファイルの言語情報
言語情報は英語でも日本語でもありませんでした。

property1

痕跡4: 実行ファイルの証明書情報
実行ファイルに偽物の証明書がついていましたが、署名者名はKingsoftとなっていました。

cert1

痕跡5 : 検知するアンチウイルスソフトの種類
アンチウイルスソフトが動作しているかをチェックしていますが、以下がチェックするアンチウイルスソフトの種類です。いくつかのメジャーなアンチウイルスソフトが抜けている代わりに、聞いたことのないものがいくつか入っています。明らかに偏りがあるのがわかります。

country

痕跡6: データ収集用サーバのOS
キーロガーなどを使って盗んだ情報を送信する先のサーバのOSは以下のようになっていました。

os

すでにお分かりのとおり、共通点は「中国」です。
このキーワードは本ブログでも何度も登場しており、特にAurora攻撃事件では国家ぐるみでのサイバー犯罪への関与がささやかれるなど、今最も注目されているキーワードでしょう。

CDI-CIRTとして今回のマルウェアを作成した犯人がいると思われる国と情報収集用サーバをホスティングしている国のCERT機関に連絡、技術提供を行い事件解決に努めています。