{
	"id": "1b9d720d-baf2-4279-a249-220c2c1d859f",
	"created_at": "2026-04-06T01:31:09.860874Z",
	"updated_at": "2026-04-10T03:21:38.350766Z",
	"deleted_at": null,
	"sha1_hash": "149e481f6e1fc8ad4c5f9694d903a10c26dc5ed3",
	"title": "【検証】IcedIDとは？検知傾向と感染に至るプロセスを徹底解説",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 2329649,
	"plain_text": "【検証】IcedIDとは？検知傾向と感染に至るプロセスを徹底解\r\n説\r\nBy NeoSOC\r\nPublished: 2020-12-10 · Archived: 2026-04-06 00:57:15 UTC\r\n更新日：2020.12.10\r\n公開日：2020.12.10\r\n NeoSOC\r\nと呼ばれるマルウェアの感染被害を検知しております。\r\n本記事では、この「IcedID」の傾向と感染に至るまでのプロセスを解説します。\r\n目次\r\n1.IcedIDとは？キャンペーン検知傾向について\r\n2.不審な添付ファイルを実行からマルウェア感染までの概要\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 1 of 20\n\n3.不審なdocファイルに含まれるマクロの解析\r\ndocファイルのマクロ 1つ目の処理\r\ndocファイルのマクロ 2つ目の処理\r\ndocファイルのマクロ 3つ目の処理\r\n4.不審なdocファイル実行により生成されるスクリプトファイル in.htmlの解析\r\n5.監視視点のアドバイス\r\n☑ マクロ実行時のHTTP通信の特徴をもつログがProxyログにあり、200レスポンスを応答\r\nしている\r\n☑ ホスト上で、%temp%temp.tmp が存在し、ファイルは実行形式である\r\n☑ レジストリ HKEY_CURRENT_USER\\\\Software\\\\mysoftware1 が存在する\r\n☑ Proxyログに .club や .cyou などのホストへ定常的な通信ログがある\r\nセキュリティデバイスでの検知\r\n6.まとめ\r\nIcedIDとは？キャンペーン検知傾向について\r\n　IcedIDはユーザの金融情報やホスト情報などを窃取したり、他のマルウェアをダウンロードする特徴\r\nがあり、過去にやり取りのあったメール件名を引用し返信を装い、パスワード付きzipしたdocファイル\r\nを添付したメールを通じて感染します(図1、図2)。\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 2 of 20\n\n図1 確認した不審メールの例\r\n図2 添付されたパスワード付きzipファイルに含まれるdocファイルを開いた例\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 3 of 20\n\n弊社SOCで観測するIcedIDへの感染を誘導する不審メール数は日によって変化があり(図3)、その変化\r\nにあわせて不審メールを実行した例やマルウェア感染に至った例を確認しております(図4)。\r\n　IcedIDの不審メール実行や感染通信の検知は、他の検体に比べ比較的多い傾向にあります。これは、\r\nIcedIDが多くの日本企業の運用で採用されているパスワード付きzipで拡散するため、アンチウイルス\r\n製品による対策や、またユーザにとってもなじみのあるオペレーションでファイル実行に至ること、\r\n実在のメールを使って不審メールが送信されること、docファイルを開くと日本語の案内文が出現する\r\nなどが理由として推測されます。\r\n図3 IcedIDの不審メール検知件数推移\r\n図4 IcedIDの不審メール実行、感染検知件数推移\r\n　このような傾向は日本国内全般で確認できる状況であり、JPCERT/CCのTwitterアカウントから注意が\r\n呼びかけられております。\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 4 of 20\n\n本稿では弊社SOCのIcedID検知状況を踏まえ、不審なdocファイルを開封後からマルウェア感染に至\r\nるまでのプロセスに注目し検証を行いました。\r\n　なお、IcedIDの挙動が時期によって差異があることを確認しているため、IcedIDは複数のバージョン\r\nが存在する可能性があります。本検証は、以下の検体を確認したものであり、今後の動向によっては\r\n同種の検体でも挙動が異なる可能性があります。\r\n今回分析したdocファイルのハッシュ値\r\ncd43b5b630c1a81cd463dbf83c4a82f604d971144ca4a118892dcf836c1ccaf7\r\n不審な添付ファイルを実行からマルウェア感染までの概要\r\n　図5に、不審メールに添付されたdocファイルを解析して得られたファイル実行からマルウェア感染\r\nまでの概要を示します。\r\n図5 docファイルの実行からマルウェア感染までの挙動\r\n①パスワード付きzipファイルが添付された不審メールを受信する\r\n②パスワード付きzipファイルを展開しdocファイルを開いた後、\r\n③マクロがin.html を生成する\r\n④②で生成ファイルで in.html を実行する\r\nは  スクリプトをレジストリに書き出す\r\n⑥in.html は ⑤で生成したレジストリを読み込み、内部関数を使ってスクリプトを実行する。ホ\r\nストは外部からHTTP通信で実行ファイルを取得する。取得したファイルはtemp.tmp として保存\r\nされる\r\n⑦in.html は temp.tmp を実行し、IcedIDに感染する\r\n不審なdocファイルに含まれるマクロの解析\r\n　不審なdocファイルに含まれるマクロ(図5②～④)を解析します。マクロは複数のマクロファイルから\r\n構成されており(図6)、ユーザによって一度マクロが有効化されたdocファイルは、AutoOpenマクロによ\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 5 of 20\n\nり当該ファイルを開くたびにマクロが実行されるよう工夫されています。\r\n図6 不審メールに添付されたdocファイルに含まれるマクロ\r\n　それぞれのマクロファイルは特有の処理を行うといった意味のある構成になっておらず、複数のマ\r\nクロファイルの関数を相互に呼び出すことで攻撃者の意図した挙動を取ります。また、それぞれのマ\r\nクロファイルは不要な処理やコメントアウトを多く含み、冗長な作りにすることで解読を困難にする\r\n工夫がされています。\r\n　AutoOpenマクロで呼び出される関数は大きく3つの処理から成り立っています(図7)。\r\n図7 AutoOpenマクロにより呼び出される関数\r\ndocファイルのマクロ 1つ目の処理\r\n　AutoOpenマクロで呼び出される 1つ目の関数(図7中関数① 「aN5MS8」) に含まれる機能を解説しま\r\nす。この関数では、後続の処理でスクリプトを実行させるために、Windows標準ファイルの mshta.exe\r\nを別名でコピーする処理を行います。　まず、図8に示すブロックでは \"lmth.ni|moc.ni|exe.athsm\" の文字\r\n列(赤枠)を反転し分割することで、ファイル名として使用するmshta.exe, in.com, in.html の文字をそれぞ\r\nれを配列に格納します。\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 6 of 20\n\n図8 ファイル名生成処理\r\n　図9 に示すブロックでは、図9(a)のブロックで定義した値を図9(b)で反転・置換処理の後、図8のファ\r\nイル名生成処理で得られた値と結合しファイルパスを生成します。反転、置換処理の例を以下に示\r\nし、図9の当該部分を赤枠で示します。\r\n（例）231met1sys1 →(反転)→ 1sys1tem132 →(置換)→ system32\r\n図9 (a) ファイルパス生成処理(変数定義)\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 7 of 20\n\n図9 (b) ファイルフルパス生成処理(文字列処理)\r\n　図9の処理の結果、以下のファイルパスが生成されます。\r\n1. C:\\WINDOWS\\system32\\mshta.exe\r\n2. C:\\Users\\【ユーザ名】\\AppData\\Local\\Temp\\in.com\r\n3. C:\\Users\\【ユーザ名】\\AppData\\Local\\Temp\\in.html\r\n　そして、得られたパスである「C:\\WINDOWS\\system32\\mshta.exe」は、図10に示すブロックの処理で\r\n「C:\\Users\\【ユーザ名】\\AppData\\Local\\Temp\\in.com」としてファイルコピーされます。\r\n実行される処理) FileCopy C:\\WINDOWS\\system32\\mshta.exe C:\\Users\\【ユーザ名】\r\n\\AppData\\Local\\Temp\\in.com\r\n図10 ファイルコピー処理\r\n　以上より、AutoOpenマクロで呼び出される 1つ目の関数ではWindows既存のプログラムである\r\nmshta.exe を in.com という名前でコピーします。また、C:\\Users\\【ユーザ名】\r\n\\AppData\\Local\\Temp\\in.html のファイルパスは次の関数の処理に利用されます。\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 8 of 20\n\ndocファイルのマクロ 2つ目の処理\r\n　AutoOpenマクロで呼び出される 2つ目の関数(図8中関数② 「ayG652」) に含まれる機能を解説しま\r\nす。この関数では、不審なスクリプトを書き出す処理を行います。\r\n　2つ目の関数には、ActiveDocument.BuiltInDocumentProperties という処理を含むブロックが見られ、こ\r\nこではActiveDocument.BuiltInDocumentProperties(category) を取得しています(図11)。\r\n図11 ActiveDocument.BuiltInDocumentProperties(category) を取得\r\n　ActiveDocument.BuiltInDocumentProperties はdocファイルのプロパティを取得する組み込み関数であ\r\nり、category を指定することで、「分類」の項目に含まれる値を取得します。検証した不審なdocファ\r\nイルのプロパティを確認すると、「分類」の項目には不審なタグのようなものが設定されていまし\r\nた。(図12 赤枠)\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 9 of 20\n\n図12 docファイルのプロパティ画面から見える「分類」の値\r\n　この「分類」に含まれていた文字列を詳細に確認したところ、docファイルのプロパティ画面では1\r\n行目だけが見えていましたが、実際には難読化された複数行のコードが格納されていました(図13)。\r\n図13 docファイルの「分類」の値\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 10 of 20\n\nこの難読化されたコードは一見可読性がないように見えますが、docファイルのプロパティ画面で確\r\n認できた\u003cugzy\u003eはアルファベットを13文字戻して表記しなおすと\u003chtml\u003e となることから、このコード\r\nがROT13(アルファベットを13文字戻す暗号化)で書かれていることがわかります。実際にホスト上で\r\nは、この難読化されたコードはROT13で復号されたのち、先ほどの1つ目の関数で得られた「C:\\Users\\\r\n【ユーザ名】\\AppData\\Local\\Temp\\in.html」という名前で保存されていました(図14) 。\r\n図14 ROT13で復号したdoc\r\nファイルの「分類」の値\r\n　つまり、AutoOpenマクロで呼び出される 2つ目の関数ではdocファイルの「分類」に隠れている暗号\r\n化 されたスクリプトを、ROT13で復号し「C:\\Users\\【ユーザ名】\\AppData\\Local\\Temp\\in.html」という\r\n名前で保存します。\r\ndocファイルのマクロ 3つ目の処理\r\n　AutoOpenマクロで呼び出される 3つ目の関数(図8中関数③) に含まれる機能を解説します。この関数\r\nの構成はシンプルで、AutoOpenマクロ1つ目の処理で in.com の名前にリネームした mstha.exe を in.html\r\nを引数に指定して実行します(図15)。この結果、2つ目の処理で書き出した不審なスクリプトが実行さ\r\nれます。\r\n実行される処理) CreateObject(\"wscript.shell\").run(C:\\Users\\【ユーザ名】\\AppData\\Local\\Temp\\in.com\r\nC:\\Users\\【ユーザ名】\\AppData\\Local\\Temp\\in.html)\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 11 of 20\n\n図15 in.html として書き出した不審なスクリプト実行\r\n不審なdocファイル実行により生成される\r\n　in.html は、外部のホストからHTTP通信で実行ファイルをダウンロードし実行することで、ホストを\r\nIcedIDに感染させる機能を持ちます。\r\n　in.html 一時的にレジストリ(HKEY_CURRENT_USER\\\\Software\\\\mysoftware1\\\\key1)に難読化された文\r\n字列を値としてし、その値を読み込んだ後、登録したレジストリキーを削除します(図16)。\r\n図16 レジストリの登録、読み込み、削除処理\r\n　key1に登録される難読化された値はbase64など複数の処理を施したコードであり、図17の後続の処理\r\nで復号し実行されます。このコードを復号すると外部へのHTTPの通信（GET）を行う処理が確認でき\r\nます。ここでも接続先となるURLは難読化されており、この文字列を反転し、base64デコードをすると\r\n平文として取得が可能です。\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 12 of 20\n\n図17  レジストリ登録した値を復号(HTTP通信部分)\r\n　今回復号して得られる通信先は以下であり、マクロを実行した際に発生するこのホストへのHTTP通\r\n信を図18に示します。このHTTP通信の通信先には表1の特徴があり、観測する時期によって特徴が変\r\n化することを確認しています。\r\nhxxp://fg-clip8673[.]com/share/cgHW3FKPXMSQzsZ（省略）/ahtap15\r\n※httpをhxxp, .を[.],  部分的に（省略）とすることで無害化しています。\r\n図18 マクロ実行時に発生するHTTP通信\r\n表1 マクロ実行時のHTTP通信の特徴\r\n観測時期\r\nHTTP\r\nメソッド\r\n特徴\r\n2020/11/20以前 GET URLに、「4桁数字.com/update/」を含む\r\n2020/11/20以降 GET URLに、「4桁数字.com/share/」を含む\r\nは %temp%temp.tmp として保存され、後続の処理でrundll32.dll の引数として実行されます(図19)。\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 13 of 20\n\n図19  HTTPレスポンスを保存し実行するコード\r\nが実行する in.html は、外部から不審なファイルをダウンロードし、レスポンスを %temp%temp.tmp と\r\nして保存し実行します。\r\n　このとき、ダウンロードを試行したホストに不審なファイルが配置されていればホストはIcedIDに感\r\n染し、ファイルが存在しない場合はHTTPレスポンス内容がホスト上に保存されます。今回確認した検\r\n体は、本稿執筆時点では\r\n図20 検証したホストに保存されたtemp.tmpの内容(IcedID取得失敗)\r\n監視視点のアドバイス\r\n　弊社SOC監視環境ではIcedIDの不審メール拡散活動直後に検知があったため、情報収集しても不審情\r\n報が集まらない事例がありました。このような状況の場合、アンチウイルスベンダの対応も間に合わ\r\nず、IcedID感染が組織内で発生する可能性があります。\r\n　監視環境下において IcedID感染有無を確認できるポイントは以下の通りです。ただしこのチェック\r\nポイントで想定する感染有無はホスト上でアンチウイルスやエンドポイント監視などがなく、特定の\r\n挙動を遮断できない場合としています。\r\n  チェックポイント Yes No\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 14 of 20\n\n1\r\n表1 マクロ実行時のHTTP通信の特徴 をもつログがProxyログにあ\r\nり、200レスポンスを応答している\r\n感染\r\n感\r\n染\r\n無\r\n2\r\nホスト上で、%temp%temp.tmp が存在し、ファイルは実行形式であ\r\nる\r\n感染\r\n感\r\n染\r\n無\r\n3\r\nレジストリ HKEY_CURRENT_USER\\\\Software\\\\mysoftware1 が存在\r\nする\r\nNo1 No2の結果次\r\n第で感染の可能\r\n性あり\r\n感\r\n染\r\n無\r\n4 Proxyログに .club や .cyou などのホストへ定常的な通信ログがある\r\n感染の可能性あ\r\nり\r\n感\r\n染\r\n無\r\n☑ マクロ実行時のHTTP通信の特徴をもつログがProxyログにあり、200レスポンスを応答して\r\nいる\r\n　表1 マクロ実行時のHTTP通信の特徴 に記載した通り、マクロ実行時に発生するHTTP通信には特徴\r\nがあります。この通信はホストに設定されたProxyを通って発生するため、組織内のProxyログでこのよ\r\nうな特徴を持つ通信の有無とレスポンスコードを確認します。\r\n　当該通信が発生し、レスポンスコードが200であった場合、実行ファイルのダウンロードが完了して\r\nいる可能性があります。今回検証したファイルでは、実行ファイルのダウンロードが成功した場合、\r\n自動的にこの実行ファイルは実行されたため、送信元のホストはIcedIDに感染している可能性が高いと\r\n言えます。以下は、Proxyログで実行ファイルを取得する通信を確認した例です。\r\n表2 マクロ実行時に発生した通信が確認できるProxyログの例\r\n☑ ホスト上で、%temp%temp.tmp が存在し、ファイルは実行形式である\r\n　チェックポイント1 で実行ファイルのダウンロードがあったホストでは、不審なdocファイルを実行\r\nした痕跡の有無を確認します。これまでの解説の通り、不審なdocファイルを実行したホストでは以下\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 15 of 20\n\nのファイルが生成されます(図21)。これらのファイルがホスト上に存在する場合、当該ホストでは不審\r\nなdocファイルを実行したと言えます。\r\nまた、「C:\\Users\\【ユーザ名】\\AppData\\Local\\Temp\\temp.tmp」の実体が実行ファイルである場合、チェ\r\nックポイント1と同様、本ファイルは自動的に実行されるため、送信元のホストはIcedIDに感染してい\r\nる可能性が高いと言えます。なお、C:\\Users\\【ユーザ名】\\AppData\\Local\\Temp\\in.com のタイムスタン\r\nプは、コピー元の mshta.exe の時間となるため、docファイルを実行した付近の時間より古い時間が表\r\n示される場合があります。\r\n・ C:\\Users\\【ユーザ名】\\AppData\\Local\\Temp\\in.com\r\n・ C:\\Users\\【ユーザ名】\\AppData\\Local\\Temp\\in.html\r\n・ C:\\Users\\【ユーザ名】\\AppData\\Local\\Temp\\temp.tmp\r\n図21 不審なdocファイル実行時に作成されるファイル\r\n☑ レジストリ HKEY_CURRENT_USER\\\\Software\\\\mysoftware1 が存在する\r\n　不審なdocファイルを実行した際に生成されるスクリプトである C:\\Users\\【ユーザ名】\r\n\\AppData\\Local\\Temp\\in.html ファイルでは、不審なコードを書き出すレジストリ登録、および削除を一\r\n連の処理として行います。\r\n　そのため、in.html ファイルが実行されたホスト上では登録されたレジストリ値をあとから確認する\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 16 of 20\n\nことはできません。しかし、一連の処理で削除されるのは レジストリキーと値であるため、パスであ\r\nる「HKEY_CURRENT_USER\\\\Software\\\\mysoftware1」 はホスト上で確認できる可能性があります(図\r\n22)。このようなレジストリパスが存在する場合、このホストでは不審なdocファイルを実行した可能性\r\nがあるため、チェックポイント1、2の状況を加味してホストの感染状況を判断します。\r\n図22 不審なレジストリパスが存在する事例(レジストリキーは削除されている)\r\n☑ Proxyログに .club や .cyou などのホストへ定常的な通信ログがある\r\n　本記事では詳細な解析を掲載しておりませんが、IcedIDに感染したホストは、revopilte3[.]club、\r\naweragiprooslk[.]cyou などのホストに約5分に1回のビーコン通信を発生する事例を確認しております。\r\n送信先のドメインは変化する可能性があるため、「.club」、「.cyou」のTLDに対して定常的に通信を\r\n行っているホストを確認します。当てはまる挙動を持つホストがあった場合、接続しているドメイン\r\nはIcedIDに関連する情報が公開されていないか、またはホストではチェックポイント1~3に当てはまる\r\n特徴があるかの検証内容を加味してホストの感染状況を判断します。\r\n　なお、確認の結果、この通信が不審なdocファイルを実行したことによると結論付けられる場合、ホ\r\nストはマルウェアに感染している可能性が高いため、ビーコン通信の遮断有無にかかわらず対策が必\r\n要です。\r\nセキュリティデバイスでの検知\r\n　最後に、不審なdocファイルを実行しIcedID に感染するまでの挙動のいくつかは一般的なセキュリテ\r\nィデバイスで検知可能です。\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 17 of 20\n\n表3 IcedID に感染するまでの挙動と検知可能なデバイス\r\n  挙動 検知デバイス例\r\n① パスワード付きzipファイルが添付された不審メールを受信する\r\nパスワード付きzipフ\r\nァイルを解析可能な\r\nサンドボックス\r\n②\r\nパスワード付きzipファイルを展開しdocファイルを開いた後、word\r\nのコンテンツ有効化を許可しマクロを実行する。マクロは mshta.exe\r\nを in.com としてリネームコピーして保存する\r\nEDR（※）\r\n図23\r\n③ マクロがin.html を生成する  \r\n④ ②で生成したファイルで in.html を実行する  \r\n⑤ in.html は  スクリプトをレジストリに書き出す  \r\n⑥\r\nin.html は ⑤で生成したレジストリを読み込み、内部関数を使ってス\r\nクリプトを実行する。ホストは外部からHTTP通信で実行ファイル\r\nを取得する。取得したファイルはtemp.tmp として保存される\r\nIDS、Proxy\r\n⑦ in.html は temp.tmp を実行し、IcedIDに感染する  \r\n※Endpoint Detection and Response\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 18 of 20\n\n図23 エンドポイントで不審なファイル作成を検知した例(CrowdStrike)\r\nまとめ\r\n　本稿では、弊社SOCで確認したIcedIDの傾向と感染に至るまでのプロセスを解説しました。IcedID\r\nは、弊社SOC監視環境下でも感染の被害を確認している検体です。\r\n　現在確認しているIcedIDのキャンペーンは、日本で利用されやすいパスワード付きzipを使って拡散\r\nします。そのため、メールゲートウェイによる拡張子規制による対策が難しく、メール受信者におい\r\nては身に覚えのない添付ファイルを実行しないことが改めて重要になります。万が一docファイルを開\r\nいてしまっても、警告に出てくる「コンテンツ有効化」をしないことが重要です。\r\n　弊社SOCではこれらの特徴をSIEM(Security Information and Event Management)の相関監視ルールとし\r\nて実装することでFirewallログやProxyログから実行ファイル取得通信や、感染通信を検知することが可\r\n能です。また、弊社が提供しているマネージドEDRサービスでは、エンドポイントでの不正なファイ\r\nル作成の実行を検知・遮断可能です。これまでのネットワーク監視の視点に加え、エンドポイントで\r\nの対策を実施することでより効果的なマルウェア対策が実現できます。セキュリティログ監視サービ\r\nスやマネージドEDRサービスにご興味がありましたら、お気軽にお問い合わせいただければ幸いで\r\nす。\r\n■関連サービス\r\nセキュリティログ監視サービス（NeoSOC）\r\nマネージドEDRサービス\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 19 of 20\n\nNeoSOC（セキュリティオペレーションセンター）は、NRIセキュアが提供するセキュリティ監視サー\r\nビスのブランド名称であり、日米にある監視センターを中心に24時間体制でセキュリティインシデン\r\nトの分析を行っています。ここではNeoSOCを運営するセキュリティアナリストが、最新の脅威動向や\r\n実際に分析したセキュリティインシデントについて定期的に情報発信いたします。\r\nSource: https://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nhttps://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid\r\nPage 20 of 20",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.nri-secure.co.jp/blog/explaining-the-tendency-of-malware-icedid"
	],
	"report_names": [
		"explaining-the-tendency-of-malware-icedid"
	],
	"threat_actors": [],
	"ts_created_at": 1775439069,
	"ts_updated_at": 1775791298,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/149e481f6e1fc8ad4c5f9694d903a10c26dc5ed3.pdf",
		"text": "https://archive.orkl.eu/149e481f6e1fc8ad4c5f9694d903a10c26dc5ed3.txt",
		"img": "https://archive.orkl.eu/149e481f6e1fc8ad4c5f9694d903a10c26dc5ed3.jpg"
	}
}