Email Spoofed from Japanese Government Agency Targets Japanese Companies(Symantec)
龍谷に行ったのとこれはどうやら同じらしいです。一方我々が受け取ったメールはちょっと本文の趣が違います。3つだけ見ると、某政党や外郭団体の人事異動とか、米国議員団の訪日日程とかいう内容に見せかけていて、議員やその事務所が受け取るといかにもひっかりそうなもの。マルウェアそのものの活動内容はよく似ています。
うちに届いた3通のうち、後で届いた2通は龍谷と同じIPアドレス84.18.200.200でしたが、これを検索するとこんなのが。
http://www.iwebseeker.com/free-vpn-proxy/free-vpn-account-in-uk-3-10-2008/
もう1つのアドレスも残念ながら、同様のFree VPN proxyのアドレスリストの中から見つかりました。
しかし本文の出来の良い？こと。確かによく見ると、異動日時を(たぶんメールを送る日付に)書きなおそうとして忘れて出してしまった形跡があるし、訪日日程・・・はメールを書きかけて途中で出してしまったような感じになっているなど、細かいミスはあります。でも、日本語としては自然な内容で、龍谷に来たものよりもう少し本文が長いものもあり、騙されても仕方なさそうです。作成グループの中に日本人または日本語が堪能な者がいるんでしょか？マルウェアが拾った情報を生かそうと思ったら日本語がわかる方がいいのは確かです。まぁ、何らかの方法で入手または作成したメールのテンプレートがあって、日付などを書き換えて出してるだけという可能性もありますが。