残っていたスクリーンショットから解析するってのは面白い。

同社の研究チームは、犯行グループが攻撃に利用していたシステムを調査する中で、「囮のファイルを作成した際のスクリーンショット」を入手することに成功した。その画像を見ると、攻撃者はMicrosoft WordとFoxit Reader（Foxit社のPDFリーダー）を利用しており、「正規のCyber Security Summitの招待状」から画像を切り抜いて、それを囮のファイルに貼り込んでいたことがわかる。 このスクリーンショットが面白いのは囮文書の作成方法ではなく、「彼らのPC環境に関する様々な情報が見てとれる」という点だ。まず、その操作画面で開かれているFoxit Readerのメニュー文字は簡体字で表示されている。簡体字は、中国本土で一般的に使用されている文字だ（一方の繁体字は、台湾や香港で利用されている）。 またWindowsトレイを見ると、現在利用しているIMEを示す部分に「CH（中国語）」の文字があり、さらにユーザーが「Sogou Pinyin」を利用してピンインの文字入力をしていることを示すアイコンもある。この画面がキャプチャされたのは、PDFリーダーを扱っている最中であるため（＝文字入力をしている最中ではないので、あえて他言語の入力設定にする必要はないはず）、ここで示されているPCの言語設定はデフォルトだったと考えられる。つまり、そのPCを操作しているのは「普段から簡体字の中国語を利用している人物」である可能性が高い。 もうひとつ、Palo Alto Networksが注目したのは「Windowsのタスクバーの右端に表示されている時刻」だった。攻撃者が画像を切り取るために、2つのスクリーンショットを撮影した時間は「現地時間で2016年10月19日の午前8時35分（および36分）」。そして囮のWordファイルが作成された時間は、「協定世界時（UTC）午前7時51分」である。画像を切り抜いて取り込んだはずのファイルが、その画像よりも先に作成されるわけがない。つまり犯行グループがどれほど素早く作業をしたとしても、それは「UTC + 1以上」の地域で行われていなければ辻褄が合わない。もっと大雑把に分かりやすく言うなら、囮のファイルはロンドンよりも東側で作成されたということになる。

http://headlines.yahoo.co.jp/hl?a=20161209-00010000-cyberir-sci