https://blog.itochuci.co.jp/entry/2026/04/03/133000

はじめに

当社では、日本に対する様々な脅威を把握する一環として、日本語の件名と本文の不審メールを継続的に観測、分析しています。その活動において、 2025 年 12 月から 2026 年 3 月にかけて、複数の日本国内の組織に対し、様々な日本語ばらまきマルウェアメールが送信されていることを観測しています。特定の組織や人物にあわせた内容にカスタマイズされている標的型攻撃メールとは異なり、ばらまきマルウェアメールは多くの人が思わず開いてしまうような内容になっている傾向があります。今回の記事では 2025 年 12 月以降、観測された日本語ばらまきマルウェアメールを紹介し、特にその中でも様々な手法の変化を見せた ValleyRAT （別名 Winos 4.0 ）の感染を狙ったメールに焦点を当て解説します。本記事が、日本の組織のサイバーセキュリティー対策検討の一助となれば幸いです。

観測した日本語ばらまきマルウェアメールについて

2025 年 12 月から 2026 年 3 月にかけて観測した日本語ばらまきマルウェアメールは以下のような内容のものがありました。

Teams を装ったメール
落札連絡を装ったメール
税務関連のメール
企業の経営層を装ったメール

これらの複数のマルウェアメールの中で、特に ValleyRAT への感染を狙うメールの割合の高さが目立っていました。次章では ValleyRAT への感染を目的とした日本語ばらまきマルウェアメールをタイプごとに分類し、紹介します。

ValleyRAT への感染を目的とした日本語ばらまきマルウェアメール

観測期間中、 ValleyRAT を配布するメールは様々な変化をしました。多くの攻撃者グループは、一度決めた手法を変化させず継続させますが、 ValleyRAT に関係するメールは文面だけではなく、リンク先や手法を変化させる特徴があります。その手法について大別すると 3 つのタイプがありました。

タイプ 1: リンク型（正規サイトの悪用）
タイプ 2: リンク型（悪性サイトの使用）
タイプ 3: 添付ファイル型

タイプ 1: リンク型（正規サイトの悪用）

当社の観測範囲では、以下の 4 つの正規サイトの悪用が確認されました。

github[.]com
myqcloud[.]com
gofile[.]io
limewire[.]com

github[.]com の悪用
GitHub はプログラムのソースコードをオンラインで管理するプラットフォームです。

国税電子申告・納税システムを騙り、税務書類（確定申告用書類）のダウンロードを促しています。ファイルは github[.]com のリポジトリに配置されています。

myqcloud[.]com の悪用
myqcloud は Tencent Cloud のストレージサービスです。

myqcloud を悪用した1つ目のメールは、組織の代表を騙り、社内調整のためのデータレポートのダウンロードを促しています。

2 つ目のメールも組織の代表を騙っていますが、「解雇通知書（かいことうちしょ）」と誤ったふりがなのついたファイルのダウンロードを促しています。

3 つ目のメールも組織の代表を騙っています。「当社の事業取決めに関する詳細」が載っているとしてファイルのダウンロードを促しています。

gofile[.]io の悪用
GoFile はオンラインストレージサービスです。

GoFile を悪用した 1 つ目のメールは、企業名を騙り、人事異動・給与改定に関するファイルのダウンロードを促しています。

2 つ目のメールは国税庁を騙り、個人住民税特別徴収税額の還付に関するファイルのダウンロードを促しています。

limewire[.]com の悪用
LimeWire はファイル共有プラットフォームです。

LimeWireを悪用した 1 つ目のメールは、企業名を騙り、請求書に関するファイルのダウンロードを促しています。

2 つ目のメールは組織の代表を騙り、「当社の事業取決めに関する詳細」が載っているとしてファイルのダウンロードを促しています。

タイプ 2: リンク型（悪性サイトの使用）

前節では正規サイトを悪用した例を紹介しましたが、攻撃者が用意したサイトや、細工されたサイトを使うリンク型のメールも観測しています。以下にメール本文を示します。

yyqxjp[.]vip

国税庁を騙ったメールに記載されている悪性サイトは、日本国政府と記載されたサイトへ遷移し、「査察の詳細」に関するファイルのダウンロードを促しています。

freerockstargames[.]in

企業名を騙ったメールは、図3. myqcloudを悪用する例2 と同様に「解雇通知書（かいことうちしょ）」と誤ったふりがなのついたファイルのダウンロードを促しています。

twitchtvgame[.]in

組織の代表を騙ったメールは、個人業績賞与の詳細が載っているとして給与補助に関するファイルのダウンロードを促しています。

xjvbn[.]com

こちらのメールも組織の代表を騙ったメールですが、個人業績賞与の支給に関するファイルのダウンロードを促しています。

タイプ 3: 添付ファイル型

リンク型だけでなく、古典的な手法である添付ファイル型のメールも観測しています。以下にメール本文を示します。

電子請求書の発行を騙ったメールは、「適格請求書（インボイス）」に関するファイルが添付されており、ファイルの開封を促しています。

メール変化の目的

3 つのメールタイプについて紹介しましたが、それぞれに攻撃者の目論見があると思われます。タイプ 1: リンク型（正規サイトの悪用）は、正規サイトのドメインが使われていることから、 Web フィルタリングされたり、スパムメールも悪性のリンクと判断し辛いことを狙っていると考えられます。タイプ 2: リンク型（悪性サイトの使用）は、よくある形式ですが、取得直後のドメインはレピュテーションスコアが付与されていない場合が多く、上記の正規サイトのようなストレージサービスへのアクセスを制限している環境を狙っていると考えられます。タイプ 3: 添付ファイル型は、もっとも古典的な手法であり、多くのマルウェアメールで現在も多用されています。

ただし、これらのメールのメールヘッダーの X-Mailer の値では一定の共通性が見られました。 X-Mailer は送信者のメールクライアントを示す値です。上記で紹介したメールの多くで X-Mailer の共通性が確認できたため、これらの多様なメールは同様の環境から送信されたメールの可能性が高いと推定しています。

Supmailer
- 46.0.0
- 46.0.3
- 47.0.0
ランダムな文字列 *2 + 数値
- 例： Qywri Tojqirsy 1.0

また、 Env-from 部分を確認すると、組織の代表氏名を詐称しているケースもありますが、メールアドレスまでは詐称しておらず、ほぼ全てのメールが以下のようなフリーメールアドレスを使用していました。

hotmail[.]com
gmail[.]com
outlook[.]com

このあたりの共通性と手法の変化が、異なる攻撃者グループであることを示しているのか、共通のプラットフォームを使っているかは判断できません。インフラの分析やマルウェアの分析など、様々な観点から今後分析していく予定です。

マルウェア配布のテクニック

これらのメールの中には様々な手法を導入しているものもありました。それらについても解説します。

多段リダイレクトの利用

メール本文にリンクを記載する手法の中で特徴的なページの遷移を行うケースでは、 URL に転送先の URL がエンコードされてパスとして含まれており、 Web サイトへアクセスした際に文字列処理を行い、リダイレクトされるよう処理されていました。以下の例では qr[.]paps[.]jp は短縮 URL 、 QR コード作成サイトで、他は悪性サイトです。

URL の例

 hxxps://kzg2b[.]com/mLzE0MDEyOS9kMjIzNjExZWVhOT/fAwZGJlNzIxMS8xNT/ng2Ni9kbXRyYWNrOmh0dHBz/eJTNBJTJGJTJGcX/fIucGFwcy5qcCUyRmpaQlZM[.]html

この URL にアクセスした場合、ページは以下の順に遷移し、最終的に ValleyRAT をダウンロードします。

[1]kzg2b[.]com
[2]qr[.]paps[.]jp
[3]nta-go[.]work
[4]megaiptv[.]net（ValleyRATのダウンロード）

以下は初期 URL に含まれるエンコードされた転送先 URL を復元する処理の流れです。

[1] URLのパスの文字列を取得する
[2]“/”を区切り文字として分割し、先頭一文字を削除し、残りを連結する
[3]最初に出現した”-”、”_”を”+”、”/”に置換する
[4]文字数が4の倍数でない場合、”=”のパディングを追加する
[5]Base64デコード
[6]“dmtrack:”以降をURLとして取得し、リダイレクト
[7]失敗した場合はhxxp://www[.]cy-email[.]comへリダイレクト

qr[.]paps[.]jp/jZBVL にはリダイレクト設定があることがわかります。

これらの多段処理は、メールサンドボックスやメールに含まれるURLのチェックにおいて、正確な判断ができないように偽装する手法と推定されます。

ValleyRAT は、 exe ファイルや dll ファイルが本体ですが、これらが直接配布されることは少なく、アーカイブファイルやディスクイメージファイルなどの別の形式に内包して配布されるケースが大半です。

実行ファイル
- .exe
- .dll
- .msi
アーカイブファイル
- .zip
- .rar
ディスクイメージファイル
- .iso
- .img

これらのアーカイブファイルやディスクイメージファイルは、一見すると単なるデータの格納・配布手段に見えますが、内部に実行ファイルを含むことで検知を回避し、ユーザーに違和感を与えずに開封・実行させる手段として多用されています。

正規操作に見せかけた誘導

メールの件名や本文には税に関する通知を装ったものが多数確認されましたが、その中にメール本文やドメイン名、ウェブサイトのコンテンツでも国税庁を装っているケースがありました。この事例では、メール本文の内容だけでなく、誘導先のドメイン名や画面表示も含めて、受信者に正規の案内であるかのような印象を与えるよう工夫されていました。

偽のWebサイトは、正規の国税庁Webサイトを複製し、そのコードを基に作成されたものです。以下の図の通り、当該 Web サイトをブラウザで開くと、正規サイトを模倣したページに加え、攻撃者が作成したダウンロードを促すポップアップが表示されます。この画面で「今すぐダウンロード」を押下するとマルウェアがダウンロードされますが、「キャンセル」を押下すると正規の国税庁 Web サイトへ遷移します。このような挙動は、利用者に不自然さを感じさせないことを目的としていると考えられます。

その他の日本語ばらまきマルウェアメールについて

ValleRAT に感染させるマルウェアメール以外にも、様々な日本語のばらまきマルウェアメールが観測されました。そのうちの 1 つ、2026 年 3 月に観測された、内閣府を装う落札連絡のメールについて解説します。

このメールは日本語本文の直後に大量の改行を挿入し、さらにその末尾へ文脈とは無関係なドイツ語や英語が混入しています。これは、攻撃者がスパムフィルターの仕様を熟知した上で、検知ロジック（ベイジアンフィルタなど）を逆手に取った回避手法を用いていると考えられます。

対策

今回、当社で観測した日本語ばらまきマルウェアメールの多くは、一般的なスパムフィルターのルールをすり抜けていました。当社では、メールの特徴にあわせたフィルタリングや、メールサンドボックスを利用することで、このようなメールの制限と把握に成功していますが、そのような措置を講じていない組織では、このようなメールが接到していることに気づかず、利用者の手元に届いている可能性が高いと推定しています。

これらのメールに特化したルールをカスタマイズして作成して完全ブロックをすることは難しく、ユーザー企業としてはこのようなメールが来るということを利用者に周知して注意を促したり、マルウェアの取得先や通信先の情報を得て、組織の業務では使わない正規サイトについてはブロックをする、などの対応をすることが求められます。

さらに、「マルウェア配布のテクニック」の章で触れたようなディスクイメージファイルは Windows 10 以降で標準でマウント可能なため、業務上不要であれば、拡張子の関連付けを変更することが有効です。この関連付けの解除は、他のマルウェアメールの対策にも効果的です。また、 ValleyRAT に関しては独自プロトコルを用いて Socket 通信で特定のポート（1234、6666、8888など）を使用するため、これらの通信ポートを遮断し監視することも対策の 1 つとして有効です。

最後に

当社はブルーチームとして、日本語ばらまきマルウェアメールを収集・分析をしています。過去に日本でも猛威を振るった Emotet のように、新たな日本語のばらまきマルウェアメールが拡散される可能性も否定できません。そのような状況が発生しても、対策を積み上げてリスクを最小化できるように、日本語のばらまきマルウェアメールの分析を継続しています。今回紹介した内容は、その分析結果の一部となりますが、これらの情報が各組織の現状把握や対策検討の一助となれば幸いです。

Appendix

件名	ファイル	SHA256
メッセージ概要: ボイスメールと未読メッセージがあります—詳細はTeamsでご確認ください—#REF-[英数字]	MicrosoftTeamsBusinessDC_2025.004.41033_Stable20671.exe	d79da8d1a65c6d93a08be02c8d347164129536c4398c9e07d92173de85e2a3e5
Re：内閣府落札通知	sdyrt.vbs	ea2385703e20bd38ba66cc9114951066f82e7693429e1f0c2be6c4e3ccd25749
Re：内閣府落札通知	Modere.exe	b4538b454d1f1569fc670149e3b364f51415ef65449cd1363a5464b292d83215
税務書類のご確認のお願い	税務調査表.zip	292f4f0397292510e7817f328b8fc69d8aa5e1f5dff00ca176961efed5942ed9
税務書類のご確認のお願い	税務調査表.exe	f28937dfad91851338210021a0a015ddc1cd16c053115444e8c07ef4a6a31ff6
税務調査事前通知書	査察の詳細です.zip	3f79fe91e67c5477b450e82cf51d21af15dbb96c5d663912647c8f3de147e0cd
税務調査事前通知書	査察の詳細です.exe	00e0e5821096b5bd36bbc2f4c872ed859fb99fdd95a7b4a65eade26fd2aa2022
税務調査事前通知書	fusion.dll	8597faea1e71e44803b503913e399006626b9f70b54815f20b779b39befa592b
なし	データレポート.rar	459e1dc3d09eb800e6367dc7833f38f7adbb9510ea70fa490a76d9b64bd1d9f6
なし	データレポート.exe	facf78d474b66ed821288db41fa6ad8a7b6f30650eb12127cb3e9a3cc6146116
[組織名]	解雇通知書（かいことうちしょ）.zip	4a1b74163098cb85dd91c7eea3d4133005664076529ec26138fce15c322bf926
[組織名]	解雇通知書（かいことうちしょ）.exe	6243e3e29e2178361437e59cca8c1f19d9ecf25b44ea31f7b2159871c317572a
[組織名]【人事異動・給与改定について】	【人事異動・給与改定について】.rar	b97e05b3367614b444893995ecda3ae5f64d8c9bdc5c375c493f12b26b5335d1
[組織名]【人事異動・給与改定について】	【人事異動・給与改定について】.exe	facf78d474b66ed821288db41fa6ad8a7b6f30650eb12127cb3e9a3cc6146116
[組織名]【人事異動・給与改定について】	vulkan-1.dll	204c9a0c12c06a129894aeec66f746185e81a5e8f5f5171d5ac462c998332cf5
[組織名]	解雇通知書かいことうちしょ.zip	167657b8ca40097ba64145ad37603a6dc32591e72204993b05396d6aabe46f7f
[組織名]	クリックして閲覧.exe	7b7eea76cb5309e373089984f77d914d7c5026e0019821c9ef5858c2a2ebafcb
[組織名]【人事異動のお知らせ】	【人事異動・給与改定について】.zip	4bbb0a2ffafe6043860e41c12ba1c0e1dd9f1486cc6f1487d7053043233f8a72
[組織名]【人事異動のお知らせ】	【人事異動・給与改定について】.exe	cdcb7126e18b31023afb3c3d42e48bd9bb108cad4f87490be317a3e40e70b736
[組織名]【人事異動のお知らせ】	sqlite3.dll	6b51a17dca3211a3d72e7534977db4bb57c97940a22e8fa7e609a2350ca3c5b0
[組織名]【人事異動のお知らせ】	【人事異動・給与改定について】.rar	de7aa97b5aff8cba74399b046e17e6aba7ee8ecc0e8aa4cf69ff61e036b85d59
[組織名]【人事異動のお知らせ】	【人事異動・給与改定について】.exe	cdcb7126e18b31023afb3c3d42e48bd9bb108cad4f87490be317a3e40e70b736
[組織名] 東京本社	請求書.zip	3953debad2f0ee2eed1051297e6338de55dd664e6a49ceb3e37ec12391a0f0d1
[組織名] 東京本社	請求書.zip	56d3315bb14f4218fb19710dc9b88fec8da96c89e97de2d486dbb692e3b23241
[組織名] 東京本社	請求書.exe	facf78d474b66ed821288db41fa6ad8a7b6f30650eb12127cb3e9a3cc6146116
[組織名] 東京本社	vulkan-1.dll	204c9a0c12c06a129894aeec66f746185e81a5e8f5f5171d5ac462c998332cf5
[組織名] 東京本社	vulkan-1.dll	65075f43d54ec33b0b2be5ce90b2b0baca140db6c9ba25e49d2ecf35d9af79d7
[役員名][組織名]	給与補助（きゅうよほじょ）.zip	a14b222f2a78a453c96d8bafbec5986fedef379d72eccf998a298ac158aa1edb
[役員名][組織名]	クリックして閲覧.exe	d19d7ed601a19e2258060d66db845962df40d613eb5d9ee861df7c518bcc4983
電子請求書発行のお知らせ	setup.exe	12862325902b7cea4aa28d15582fb2c62b57de3a53760f9abed655b089a4d76a
[役員名][組織名]	給与補助（きゅうよほじょ）.rar	53615a73ed6f8cceceeec3944c788dee2a1818a7c572ece84efe7a1c49ba14c2
[役員名][組織名]	クリックして閲覧.exe	facf78d474b66ed821288db41fa6ad8a7b6f30650eb12127cb3e9a3cc6146116
[役員名][組織名]	vulkan-1.dll	3c276b1cf7be42d1ea3cb64a7d54f36fc3c249d0b8ceeae1ea02b65c08adb392
【e-Tax】個人住民税還付のお知らせ（クレジットカード返金）	e-tax.zip	a9f19f4e02fe863fccd46d0be1ee73a4f17ffbc4126a8ba9bc63d6acf4ba68c9
【e-Tax】個人住民税還付のお知らせ（クレジットカード返金）	（国税電子申告・納税システム）.exe	0a1fd68a1fbab226ed926977f89df6621713aac36da7ee076a30db99d8be4c5c
【e-Tax】個人住民税還付のお知らせ（クレジットカード返金）	Secur32.dll	c98ae9a9f437ac322a231da751ee94b0ce5d6d199330cdd6a31c324747d2760f
[役員名]	データレポート.rar	459e1dc3d09eb800e6367dc7833f38f7adbb9510ea70fa490a76d9b64bd1d9f6
[役員名]	データレポート.exe	facf78d474b66ed821288db41fa6ad8a7b6f30650eb12127cb3e9a3cc6146116
[役員名]	vulkan-1.dll	fa22e94a98d19959c82580dc1cafcfc6ec762ed57dea9f48e3b7d0f9279a8cce
【重要通知】賞与に関する新着情報があります	解凍してご確認ください.zip	f543dcf4f178e464c7b4dc24b463272417d8ada2a7d3a832e177f37e64f10cbd
【重要通知】賞与に関する新着情報があります	[文字列] - 20260327003703.exe	02698279d30b2d95f571ba613c80980a84574f3b334eafe0c8d2c0839be90e89
【重要通知】賞与に関する新着情報があります	libcef.dll	07ead27a736604b28876f4a0c940279983bd7076c2e1fed4039c4f0a81f3e0d5