日本学術振興会は2017年1月17日、同会が送信したように装った不審なメールが出回っているとして、Webサイト上で注意喚起を行いました(図1)。同会は、研究者に対して科学研究費(科研費)と呼ばれる助成金を交付する、文部科学省所管の独立行政法人です。後述するように、不審なメールは科研費に関するもので、ウイルスファイルが添付されていました。金銭に関わるため、あせって開いてしまった人がいるかもしれません。この攻撃を調査しました。

図1●日本学術振興会を装ったウイルス付きメールが出回る
図1●日本学術振興会を装ったウイルス付きメールが出回る
日本学術振興会が同会を装う不審なメールの注意喚起を1月17日に始めると、翌日から複数の大学が続々とWebページに注意喚起を掲載した。
[画像のクリックで拡大表示]

大学に対して警告を一斉配布

 日本学術振興会による注意喚起の後、複数の大学でもWebサイトで注意喚起の告知を出しました。翌1月18日には明治大学、19日には早稲田大学、20日以降は愛知学院大学や上智大学、中央大学など、告知を出した大学は10校を超えています。このことから、今回の攻撃は、大学関係者を狙った標的型攻撃だと推測できます。

 それぞれの告知内容には差がありました。日本学術振興会になりすますメールに注意するよう呼び掛けるだけのものから、不審なメールの添付ファイルを開かないよう警告するもの、不審なメールの文面まで紹介するものなど様々でした。一部の大学は、日本学術振興会が配布したと思われるPDFファイルをそのまま公開していました(図2)。複数の大学が続々と告知を出したのは、このPDFファイルが日本学術振興会から届いたからでしょう。

図2●注意喚起のPDFファイルからなりすましメールの内容が明らかに
図2●注意喚起のPDFファイルからなりすましメールの内容が明らかに
一部の大学では、日本学術振興会から配布されたと思われるPDFファイルをWebサイトでそのまま公開していた。PDFファイルには、なりすましメールの内容が掲載されていた。
[画像のクリックで拡大表示]

申請が遅れたら科研費が無効に?

 不審なメールには、科研費の繰り越しがある場合は申請するよう書かれています。このメールで注目すべき点は大きく三つあります。

 一つは、送信元メールアドレスがフリーメール(Gmail)のものである点です。注意深い受信者であれば、これで怪しいと気付いたでしょう。

 二つめは、添付ファイルがzipファイルだった点です。後述しますが、パスワード付きの圧縮ファイルでした。パスワード付きの圧縮ファイルは、中身が暗号化されるため、既知のウイルスであってもファイアウオールなどで検知されない場合があります。

 三つめは、申請の期限が書かれていた点です。「厳守」が強調されていたので、これを見た受信者は、申請が遅れたら繰り越せるはずの科研費が無効になると思ったでしょう。