全3128文字
PR

 偽サイトの乱立などはあったが、2021年7~8月に開催された東京五輪を対象とした大規模なサイバー攻撃は報告されなかった。そうした中で気になるマルウエアが発見された。東京五輪に関係するファイル名で、マルウエア検査サイトのVirusTotalにアップロードされていた。今回はこのマルウエアを取り上げる。

 このマルウエア(以降、「東京五輪偽装検体」とする)は、日本時間の2021年7月20日に「【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe」というファイル名でアップロードされていた(図1)。東京五輪の関係者や東京五輪のサイバー攻撃に注目している組織が、思わず開いてしまいそうなファイル名だ。こうした人や組織を狙ったものである可能性がある。

図1●東京五輪関連を装うマルウエアとその類似検体が見つかる
図1●東京五輪関連を装うマルウエアとその類似検体が見つかる
2021年7月20日に東京五輪に関連するファイルを装ったマルウエアが、マルウエア検査サイト「VirusTotal」にアップロードされていた。このマルウエアに類似する検体がその数日前にアップロードされていた。
[画像のクリックで拡大表示]

数日前に類似検体が投稿

 実はこの検体と同じ人物が関わったとみられる、別のマルウエアが存在する。2つの検体を比較しながらマルウエアの実体を説明していこう。

 VirusTotalは、アップロードされているファイルの中から類似のマルウエアを検索する機能を備える。筆者がこの機能を用いて類似検体を検索すると、マルウエアの類似性を示す特別なハッシュ値が完全に一致する検体があった。日本時間の7月18日にアップロードされた「zzz.exe」というファイル名の検体だ。

 VirusTotalの表示を見ると、東京五輪偽装検体は匿名化通信のTor経由でアップロードされていることが分かる。アップロード元の表示が「FR」であるから、Torの出口ノードがフランスだった可能性がある。

 一方、zzz.exeのほうはTorを使った形跡がなく、日本国内からアップロードされている。東京五輪偽装検体に関与した人物が、アップロードの際にTorを使い忘れた可能性などが考えられる。

 2つの検体を細かく調べると、特徴的な部分が一致していた。実行形式のファイルをPDFファイルと勘違いさせるために付与したとみられるアイコンだ(図2)。アイコンの画像を黒地の背景に重ねると、どちらにも手動で画像を切り抜いたような跡があることが分かる。背景を黒地にしないとまず気づかない。これらの形跡が完全に一致した。さらにハッシュ関数のSHA-256を使うと、画像ファイルのハッシュ値も一致した。つまり両者のアイコンは同じ。同一人物が偽装アイコンを用意した可能性が高そうだ。

図2●偽装アイコンの特徴が一致
図2●偽装アイコンの特徴が一致
2つのマルウエアのアイコンのデータを比較すると、複数の特徴が一致していた。
[画像のクリックで拡大表示]