ムーンライト - 中東における標的型攻撃

2016年10月26日
Vectra AIセキュリティ研究チーム
サイバーセキュリティ
ムーンライト - 中東における標的型攻撃

Vectra Threat Labs の研究者は、中東の企業に対する標的型攻撃に現在従事している個人グループの活動を発見しました。私たちは、過去2年間にこのグループによって生成されたmalware の200以上のサンプルを確認しました。これらの攻撃は中東の政治問題をテーマにしており、動機は日和見や犯罪目的とは異なり、スパイ活動に関連しているようです。

これらは技術的に洗練されたスキルを悪用する攻撃者ではない。しかし、彼らは以下に詳述するような斬新な戦術を展開しており、これらの攻撃が意味するものは重大である可能性がある。Moonlightのツールもターゲットも、ハマス[1]と政治的に連携していると言われる攻撃者グループ「Gaza Hacker Team」を彷彿とさせる。このような共通点があるにもかかわらず、2つのグループの間に確固としたつながりは確認されていない。

この攻撃者グループを、攻撃者がコマンド&コントロール・ドメインの1つに選んだ名前にちなんで、ムーンライトと呼ぶことにする。

[1] http://www.securityweek.com/gaza-cybergang-attacks-attributed-hamas

ムーンライトのターゲット

Vectra ネットワークはプロバイダーと協力し、Moonlightのコマンド&コントロールインフラストラクチャをシンクホールした。私たちのシンクホール経由で見られるホストは、中東の犠牲者を明確にターゲットにしていることを示しています。

私たちのシンクホールから見えるホストは、明らかに中東の犠牲者をターゲットにしている。

図1: ムーンライトの攻撃被害者

これらの被害者のほとんどは、自宅のネットワークから接続しているため身元不明だが、注目すべき被害者の一人はパレスチナの報道機関である。

Vectra は、米国と中国の被害者は異常であると考えている。これらの感染したマシンは主に大学のネットワークにあったもので、マルウェアをサンドボックスに入れているセキュリティリサーチャーか、母国とのつながりを狙った留学生である可能性が高い。

オンライン・ウイルス・スキャン・サイト『VirusTotal』からの間接的な標的データ、および攻撃者が使用するURLリンク・サービスからのトラフィック統計によると、これらの攻撃の多くは、小規模なグループまたは個人を標的としている:

オンライン・ウイルス・スキャン・サイト『VirusTotal』からの間接的な標的データ、および攻撃者が使用しているURLリンク・サービスからのトラフィック統計によると、これらの攻撃の多くは、小規模なグループまたは個人を標的としている。

図2: 統計は、攻撃者の悪意のあるファイルの1つを示し、わずか2回のクリックを登録した。

OpenMe.docx.exe

攻撃者は、マルウェアを被害者が関心を持つ文書と名付け、開封するよう誘惑する。悪意のあるおとり文書は、中東の政治に関連するテーマを表示し、意図されたターゲットが誰であるかをある程度示す:

  • 20160611-NCRI-AR-ラジャヴィ-シリア-ラマダン.docx.exe
  • ヨルダンのタラル暗殺 YouTube.exe
  • エジプト首長会議の音声記録。MP3.exe
  • ザカリア・アル=アガの道徳的投影の背後にあるアレノ准将.docx.exe
  • エグゼ
  • ファタ外国の陰謀.exe
  • エジプト・ラファの水路掘削中に発見された武器弾薬庫.exe
  • ハマスとファタハは以下に合意した。
  • ハマスとエジプト軍.exe
  • ハマスとガザ地区のサラフィスト聖戦主義者.scr
  • ハマスの裏切り.exe
  • 重要な漏洩セキュリティ会議アラブ首長国連邦.exe
  • スクラム
  • エジプト安全保障会議録音音声流出 Emirates.mp3.exe
  • アラブ首長国連邦の重要な安全保障会議のリーク.mp3.exe
  • PLO執行委員会会議.exe
  • 大統領筋はガザのファタハ指導部を追放し、アブ・サムハダナが組織を率いることになった。
  • サウィリスとスエズ運河プロジェクト.exe
  • シナイ爆撃.docx.exe
  • アブ・グセイン病の全真相.exe
  • アッバス大統領の孫が愛の祭典で、レスポンス 、サミール・マシュハラウィ氏だった。
  • ガザ地区での爆撃の実行犯の名前.exe
  • マフティー・タクフィリ・ハマス拳の息子、麻薬撲滅警察.docx.exe

Moonlightは、0-daysやエクスプロイトが、マシンの侵害を成功させるために必要なものではないことを示しています。その代わりに、例えば[legitimate file-extension].exeというファイル名のファイルへの添付ファイルやリンクを持つ電子メールを送信するという、古典的なソーシャルエンジニアリングのアプローチを好むことを示しています:

  • スクラム
  • 機密文書 Panama.docx.exe
  • doc.exe
  • エジプト首長会議の音声録音.mp3.exe

ムーンライトは通常、約束したルアーのテーマを実行し、被害者に関連する「おとり文書」を提示する:

「PLO執行委員会の会議」 マルウェアによって被害者のマシン上で開かれたおとり文書

図3:「PLO執行委員会の会議」 マルウェアによって被害者のマシン上で開かれたおとり文書

シリアに人身売買された女性たちに関するおとり動画

図4: シリアに人身売買された女性についてのおとり動画

新しい組織になりすます

攻撃者は通常、より無害に見せるためと思われるが、短縮URLを介して悪質なファイルを配布する。リンクやドメインの多くは、Eln NewsやWattan TVといった中東のメディア組織になりすましている:

  • http://bit[.]do/www-elnnews-com
  • http://wattan.tep[.]su/deaf.rar
  • http://www.aman-news[.]com/arab/betrayal%20of%20Hamas.%20exe

メディアになりすましたドメインAlwatenvoice[.]comは、被害者にマルウェア(後述)のダウンロードを促すための「ランディングページ」もホストしている。

流通

あるFacebookユーザーは、悪質なAlwatenvoice[.]comからの投稿を多数シェアしている:

ユーザーがFacebookで共有したマルウェアを含む2つのページ

図5:ユーザーがFacebookで共有したマルウェアを含む2つのページ。

2つ目の投稿は特に興味深い。Facebookの情報欄には、この記事はシリアについて報道する人気のある独立系ニュースメディアであるAll4Syria[.]infoのものだと書かれているが、実際にはAlwatenvoice[.]comにつながる:

図6: All4Syria[.]infoへのリンクは、実際にはAlwatenvoice[.]comへつながっている。

するとユーザーには、本物のAll4Syriaのウェブサイトによく似たページが表示される:

左がAlwatenvoice[.]comの悪質なページ、右が正規のサイトAll4Syria[.]nfo

図7: 左側がAlwatenvoice[.]comの悪意のあるページ、右側が正規のサイトAll4Syria[.]nfo

ユーザーが「再生」をクリックすると、「شبكات الدعارة السورية.mp4.exe」(「シリアの売春リング.mp4.exe」) というマルウェアをダウンロードするよう求められる。

これらの悪質なリンクを貼っているプロフィールの公開投稿数は非常に少ない。2015年の最初の投稿では、ユーザーが壁紙をファタのロゴに設定している。公開されたFacebookの交友関係には2つのお祝いがあり、そのうちの1人は名前とフェイスブックのプロフィール情報から特定できる。彼らの詳細は、2007年にハマスとファタハの間で激しい闘争があった際に暗殺の標的にされたとロイター通信が報じたファタハの幹部武装勢力と一致している。

攻撃者が管理するアカウントであっても、攻撃者が侵害したアカウントであったり、無関係の人になりすましている可能性があることを強調しておきます。また、悪意のあるリンクを共有しているアカウントが、無意識のうちに悪意のあるコンテンツを拡散しているユーザーのものである可能性もある。

H-Worm

Moonlight は、一般的に広く普及しているH-Worm[2](悪意のあるVisual Basic Sc​​riptワーム)の難読化バージョンを第一段階のバックドアとして配信します。Moonlight は、ウイルス対策ソフトウェアを回避するために、常に変化するさまざまな展開スクリプトを展開します。これらの多くは、自己解凍型RARアーカイブ内の基本的なスクリプトを使用してマルウェアをインストールします。

[2] https://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by-houdini.html

MoonlightがH-を展開するために使用した悪意のあるスクリプトの一部。Worm

図8: MoonlightがH-を展開するために使用した悪意のあるスクリプトの一部。Worm

これらの抜粋では、Moonlight がマルウェアを展開する際に次のような奇妙な選択を行っていることがわかります。

  • Windowsのシステムフォルダからおとり文書を開く
  • ユーザーが C:∕temp フォルダからファイル(インストールされたマルウェアを含む)を削除できないようにする。

マルウェアのインストールに使用されるスクリプトには多くのバリエーションがあり、より洗練されたグループが好むビルドツールを使用した生産化されたプロセスではなく、手作業で多数のサンプルが作成されている可能性が高い。

njRat

ユーザがVirusTotalに提出したURLへの記録には、攻撃者が第1段階のH-Worm malware で得たアクセスを使って、追加のマルウェアをインストールしたことが記録されています。この例は、ドメインfun2[.]dynu.comに対してVirusTotal[3]に提出されたURLに記録されています。

日付

所在地

2016-05-24

C:/Users/Administrator/Desktop/service.exe

2016-05-31

C:/Users/Administrator/Desktop/WindowsService1.exe

2016-08-10

C:/users/administrator/desktop/k.exe

2016-08-10

C:/users/administrator/desktop/service.exe

[3] https://www.virustotal.com/en/domain/fun2.dynu.com/information/

以前のステージと同様に、攻撃者はよく知られた[4]njRatを展開するために多くの方法を採用しており、サンプルによって異なるようだ。ある例では、マルウェアのbase64圧縮されたblob内にプログラムを格納している。そしてこれがメモリにロードされ、EntryPoint.Invoke()を使って実行される:

MoonlightでデプロイされたnjRatのローダー例

図9: MoonlightによってデプロイされたnjRatのローダー例

[4] http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene and http://threatgeek.typepad.com/files/fta-1009---njrat-uncovered.pdf

これが解読する24Kbのコードは、別の.NETアプリケーションであるnjRatだ。他のドロッパーも、実行される前にblobを解読する。njRatもこのようなコード・オブファスカーターもフリーで入手可能で、限られた技術的知識しかない新進ハッカーがこれらを使用するのを助けるために、たくさんのチュートリアルがオンラインで利用可能だ。

重要な作戦

ムーンライトの指揮統制基盤は非常にシンプルだ。パレスチナのヨルダン川西岸にある自宅のインターネット接続を介して制御される動的ドメインで構成されている。私たちは、このシンプルなインフラストラクチャに非常に多くの多様なマルウェア・サンプル (200以上) が添付されていることを確認して驚きました:

ムーンライトのインフラ

図10: ムーンライトのインフラ

アタッカーの進化

初期の攻撃は標的を絞らず、中東の "ハクティビスト "に典型的なYoutubeの動画やソーシャルメディアの投稿のリンクをクリックするよう、日和見的に被害者を誘っているように見える。その後の攻撃は、特定のグループや個人を標的にしているように見える。MoonlightはGoogleのURL短縮サービスを利用しているため、攻撃を時系列で大まかに比較することができる:

ムーンライトがグーグルのURL短縮サービスを利用することで、攻撃を時系列で大まかに比較することができる。
2014年12月の攻撃(左)と2015年12月の攻撃 (右)

図11:2014年12月の攻撃 (左) と2015年12月の攻撃 (右)

攻撃者は誰なのか?

一般的に、コマンド&コントロール・サーバーに割り当てられたIPロケ ーションは、攻撃者の位置を示す指標としては不十分である[5]。しかし、このケースでは、ガザ地区のホーム・ネットワークの位置は正確である可能性が高く、攻撃から得られた他の詳細と一致している。攻撃者はまた、特に初期の攻撃において、運用上のセキュリティの低さを示している。ドメインのWhois記録やソーシャルメディアへの投稿から、関係者の身元に関する有力な情報が得られる。紛争地帯で攻撃者の身元を公表するのは賢明ではない。

おそらくもっと興味深い質問は、"攻撃者の目的は何か?"ということだろう。あるいは、彼らが指示されているとすれば、最終的に誰が資金を提供し、彼らに任務を与えているのか?

[5]http://www.csoonline.com/article/3028788/techology-business/norse-corp-deconstructing-threat-intelligence-on-iran.htmlおよびhttps://threatbutt.com/map/を参照。

カウンター攻撃

このような攻撃は、技術的に洗練されていないために見過ごされがちである。しかし、攻撃者の技術レベルが低くても、こうした攻撃のリスクは高い。こうした攻撃の背後にある動機が本当に政治的なものであれば、その結果は人命の損失を意味しかねない。パレスチナでは、対立する政治派閥間の暴力により、何百人もの死者が出ている。

中東以外の個人や組織がMoonlightによる攻撃に遭遇する可能性は低い。しかし、展開されたツールやテクニックは、中東の低スキルでありながら決意の固い攻撃者の典型的なものであり、しばしばすり抜けられる攻撃の種類の一例となる。よく知られたマルウェアを難読化するというMoonlightの戦略は、ホストベースのセキュリティ・メカニズムを回避することにかなり成功しているようだ。H-WormやnjRatのようなよく知られたマルウェアファミリーのネットワーク通信は、依然として既存のネットワークシグネチャベースの検知ツールをトリガーするはずである。

Vectra 顧客は、以下の一般的な検知によって保護されている:

  • Suspicious HTTP - H-WormのようなHTTPベースのマルウェアの一般的な検知を提供します。
  • 外部リモートアクセス -njRatなどのRATの汎用的な検知を提供
  • マルウェアアップデート - HTTP(S)経由で二次マルウェアの汎用検知を提供します。

セキュリティ専門家は、これらの攻撃者に使用されているファイルハッシュとドメインの全リストを付録で確認することができます。

Vectra Threat Labsは、セキュリティ・リサーチとデータ・サイエンスの交差点で活動しています。私たちは、お客様のネットワークで見られる説明のつかない現象を取り上げ、観察された動作の根本的な理由を見つけるために深く掘り下げます。

{{cta('c55c408c-ddec-4ebb-a41f-666d25face78')}}

付録

ドメイン

ネットワーク上の以下のドメインへのトラフィックはすべて調査する必要があります。これらのドメインの多くは、Vectra によってシンクホールされていることに注意してください。

アルワテンボイス[.]com

elnnewscom.duckdns[.]org

fun1.dynu[.]com

fun2.dynu[.]com

fun3.dynu[.]com

fun4.dynu[.]com

fun5.dynu[.]com

h.safeteamdyndns[.]se

h0tmail.duckdns[.]org

hackteam1.spdns[.]de

hema200.publicvm[.]com

hema200.safeteamdyndns[.]se

hema2000.dynu[.]com

hp200.spdns[.]eu

hp500.linkpc[.]net

hp600.spdns[.]eu

moonlights.linkpc[.]net

new4.spdns[.]eu

opstin.spdns[.]eu

run500.linkpc[.]net

run900.linkpc[.]net

wattan24.duckdns[.]org

aman-news[.]com

MD5ハッシュ

ABD8F478FAF299F8684A517DCB1DF997

003F460F6EA6B446F31AA4DC57F3B027

568218BB07C021BBAB3B6D6560D7208C

AC19A1E5D604D82EF81E35756F3A10D1

0392F8BE82A297242BAAD10A9A2912EB

573138482B185F493B49D3966650CDAD

AC3918287452FEBD3855FF4BC3D82A07

04A4CC757B4D283FF8DE246C19E8D230

5947BBAD60D4D00EF545E2FB3B1FD03E

AC89E42EE593CEA80030820618F2BCF6

04B2D3F38055B2B821B30E82C44D6040

59E18D4ED3C97279DB16984C07213EB1

ACAB47BB5E8ED34056905FF63353CABC

0512F533BF2E8E5EC9637B804C101C2B

5BF5BE6B45292FBA0C0EDC415F248922

ACCF82FC29467C08CE087072FEA3D14A

05618077C03B80ACE066B9851966FBB1

5CC9964DD41BE3D9DACBD0425EC032A9

ACD58BB34BB275DE1570917624ADE609

0606FEE55F39784E9889C1AAA0F27882

5CFD542A561F1EE679FCD6AA81991F3A

AE238D1E52CD4A9DECFE769FE5844747

064F0A5FCC869F6EB77405D3FE98AF87

5E59ACF240E2881B1C1E2F5586C9CA6F

AE9E9E3C73483E8B6C6E58E5629DC4D0

07EB24224A722EA9D8A3DC610B834D7A

5F0437C7DC45D4C10A045954DB77DD31

B053BBB499D68CCE1782B33FDE7B43FF

0975222DE39433A25E672595B1960CDB

61381610E76266423ACE96670DE45DC0

B0B9332082E98D51CB7265A45A945A22

0A38DDCC3431BAE448E38C99562162EF

6212E9A07225D6B71769D2BBBC20CD04

B184FA51604D7EAA5A45350D1E08E5B7

0A49531FC0C00E991E51F34398F3AB88

6218A61D18F5A74F82ABC31A5F073C4B

B3FB8253595FED348464B5C9A01AD4AD

0ABBD2765B563F2B8748485FA84DA070

62C0B9EA3638BEF977A7D33970E52E38

B532676D6A5A6684B62A078BFBCBBD0B

0AED206FC534C310724E122BF6BCDF7F

63D933310CFB26EC9913A26BEF230A99

B77A14A594A59C3B86EDD940FB35AB5E

0B2023BC4ADFBB8157DA9147B9FAFACB

64ACAFF36681B16C5717741E17DCB329

B82DE5F1C26143083D988B06F6C927C3

0B40D67579AF550C0A3AEE359C2C71BA

64AF25B42E21F01A213C32CC66CFD749

B841E134EC7FE48095754742C8A2B8D7

0BD3B5C667878830DA088527D1B753EC

655F56F880655198962CA8DD746431E8

B929FC62DB2B3C8CC6A03063767BE125

0C15603B17FA333189AB5ED06E0993F7

696232159428BCB2BDA5AC2C755E8FED

BB15E754AE3B85A12447B448F6F7E43E

0CA048153AC96E5C41243B364092AF07

69A042C9ED90A30444606407F77E199F

BBF576CF704B71C739E8777EB6C9FF82

0D67422BA42D4A548E807B0298E372C7

6C4B69C19F2C3AC23AC392B8631E31BB

BD2234DAE56580AAA7F880A7DB0F397D

0E9B363DE7DD2B10AFD5D1947FA0E006

6C4D355411B8D7DA56A2C7C14693A3AE

BE23B3AFD1FD32C900F012CB2A8BA755

0F83377C44ADBA238FD0F0EB241981A6

6D418227FEB7A60727326583B52187E6

C28376FC9EE627B51E3F52503397E2DC

114B805F977E17558DD89E8029E29DF0

6E2E488CDDF1D15D0411F3838ED04683

C291CFAC28F323F9808D633A8558A35A

118A606FB131C082B55A5625661B666A

6EE7264D4A974D0FFFED7F39652D1DAD

C64052167D6A183A3ECC259EE0F3A0C6

129F4B0A1F209784BF7071C14119BF9F

71B00CBD186B1C168FD207B8F43FC8E0

C8D912CF5BF526E551972EBB5454DD3F

1325AB5DCA14B58A8A7B9A8F5A1EE4DC

72076B1B2D9CB0507E5C94C2B422CCE7

C92E26AC3145718E531330B87772D216

13AF6A3C3A3908FD4E606A1F19B05714

72BEA803A834F7736679781A1D729B1F

CB539DFAEECC4BAF875A1E431701FF9D

148A3E3CC76CF6753B15070FE3514DAE

7681AE3933F3E13EB8E2A9BE281A5763

CC9FAEC3F39EDAF7A59E9D9A7577451C

14C1E03DE25811C3D6D467837A16BB29

76A68FE73FFF571F257A1B0F100ACA1D

CCFA1B31C47C9F124FEFE206301B3A5F

15F7682A178F789EDB40CEAABA9E5103

77D02BE92D052F35604CAA9885DD9A77

CD10D61A0D2D43A6AB16A9F50B1AD894

1673583BC5B7A485119D4A1342D6ADA8

7840F2473B3A0E0960A1925F3CD0C3B1

CF51142459F7B40E751E91179C001299

17D70C318C6D16EA599E39550C44FA7F

7A4588DC14AE38505662B75DA93CA8A7

CFE26B57E168B6C6A18C668E36A3E939

1856F46DA93C3B152C358E0F6DB53402

7AEFB825277764CD9F31BC1F2370D18D

D179427D46D38D78A7A60512A4595496

1966F3B1D4ADEC25AB866C4E061A1E50

7C14974DD39B071558C619D16C4216DB

D24B6317064DA37D31CE4459AC7F4B69

1C4AB6CF907175D114C48C30A38BF379

7D1F1FED52745D36D737EFA7D43F4B95

D297E0DB6D63A952B08B6F0E3FE101E7

1D693473FF431C7CEA3E7AB0130EAA3D

7D27548E3F56FA532C571FB409ECD7B6

D3C8ECF591381B31D3AA796471B5B0F1

1F644DE33D57C12A393B12F92A7C44C5

7DD199B0C678EF409A7DC461DE850849

D5DFF6DB76B75D346D3B33BBA5B7CBFA

215556AF1A5FEF7E08A6124D94487D2F

7ED4897B11798F4639C73D57F901A661

D5EEE8DC2507D46E1DC11F7B7441F506

21CE82DB335964B8624F8EB0668B539F

833B3AF9BD8FFD0390BCA1D43EE78CC3

D817FD5A442C7668607AE895D4298040

22CC7CE1E17852B6D09D5641B6ABCA0D

83AD97BF1D5A9044AAFBA6AAC4B7387E

D9EACFF28841C51ACE9712AF78BCBDD0

24D2CE38D2886A00E678E8C23AD8D1CA

841C3AFAA8CAF0AC33BF783D5FEAEADB

DD2D6B625E7ADD1528311A0CF5FD5EAE

276E54A5E32BEF12367C5B31BF9C179E

8492C3111C7C0998F0DC1B63967E5C65

DDD73E73BE2CC934D5721D4FC62CD98C

27A1891DB06D316B43A48DDEFEBF73BF

853A53CF799E2E3E1FC244A0751A4E96

DDEEE52C00A95167353215D14B3AAA68

2851685F217EB1CE573FC2BAE7918801

8799B3D6B2CE50D4DD5F5114635A4B96

DE2E753D12CE07F7B3F97C498D3477F8

28FBFD2AD1B500B62377DDE5795CDF85

87E5555CFF74D41551D6D29B9C01C0CB

DF38B1562E4F0B735B3E10BAE78DF2A9

2930596D4E1328B79C349455E71EE1B0

8943A561F0839D43B8BD476357992540

E1B56D70FA5397509F901ED72724A5E9

29771C26BFDD125E7427CD57A98730FF

897061CD7F0BBAE1B024ED9C1C1998A1

E3E2CD771C8183464737233D17CD6A09

2993B77D82622D665F9B2F06C89741BE

8A2E5662ED22D0D555E6B90FE5E1C902

E42CD849370F2BE67F40B97B5D741B37

2A0F5D8C5BC021A1CEFED7442B02DF52

8AD4C22449B98339548D38BF87BF50AA

E613FBAAF0E64B1CA740F9859D5CAF0B

2AB91CEDD813E306248E545075C60866

8BE6FBAD0618D6A398966AF3D20F5418

E61732ADD06F5EB98FE6AD42CE9682F6

2C8C94E85EF8C757586590E8D1ABDC6C

8F8E5A9553A27A9341ED6022028B231D

E8909F06EF95B222121B72E12DB2111D

2CBD8E0EB9DF67E7D304F28803D4529E

8FDD4BA7920B3D6AB2F0106FDF4ED702

E8C4A336C901A8799525EA30486838B3

2DC30F736F1A485DBBEED63EC9259726

8FF5EF99FAF5E17B7D5B46585BAC7B43

EA788C263E04B93D36E0D82BB7D1BC05

2E49F5BD50A4E82DB05B4E42F18536F3

90C49D0CEF0DFCFF3C09723A9918688D

EB7B7C974A66E7F9A0EAD3113F949EC8

2F352CD6486C518DDC61B7EBBEAB5F01

927DBA3C9B98FD749017E3DEE270136B

ECB97F19AB0568CD0536567A7DEF44FF

348D6C08F155F0781574C34E573B6F1F

940A1B2C537FA2F764283795E9B665BA

EF53161673CA4CAA7E9C4B33A0D02A90

36E3307F26E5B8BDBA30D7EA7CA62CD8

968EF6CB0DFB082DF7A68C3B8869C57B

EFCA552B3CA4B8FF8686FD313FF2D48E

37CB0DF3AF8D3CA2086EEDAF3479D21C

974037C602A559C471BBDA3D07F50650

EFE54DF820FA8434CF14A5A8F55F52B7

39581B22FB078851D6DAA492C4F5BE97

97AA47094205DF17C15ED216227C4DA8

F007B759A30EDF46FD921E2D87A39D5D

3CE01AD1B116943F5FB1B2925C5DCAF1

99215ADB3D924F52D69BEAB6981791EB

F17CD2526A0E46D806863E1320A2CF5B

3D2E266B9FDAD45AEF7D83164BEB7A37

992D434A726B9C50851B809FB95C169B

F33B62D496F58E752BB190296781CFF9

3EAA4C1C6716133612CBA0EA4A6905B5

9A9D01BCB93EF99E1B8EBF727D72E91F

F48AAB23D1DEF618449D705146153966

40E9ED913857D5196368A64D9972FCB8

9EF41A195932EDE4E9E6800E7D272A2E

F59453D2FF8F29617DB23201C568017C

4484EB027D30C4705717CDE931245827

A12EB4CD0CAD629FCE59AE5120B82133

F7CF132313438115B0BBED035078FB1C

476764A1E6E121CF59C7F101F0E14968

A1E60D076CC9488EB7D86BD70FF70154

F8AD6A207BEE8C042220CC52AF2DAC29

4791667A4935718C4A55FA23EB18A520

A2E82ED55692BF64B819117C48F13F62

F8FF494B1C0403C3C99C6D67BEF7069A

48A8E95E79787EB27465AAD52855788A

A3296E4D931583415C2B1B7A68C96508

F93A95668040E143F19F94210CA18D88

4C325C62D2CD9A69AA2CCF920A61B4C1

A3DFD16AC5E2E0343E61E19C13FCFF2B

FA428FEF017B496DCAE6428889114FCC

4E3925ABF0CB66CE4476DFFC41131396

A62DE1A146EEC778344600F8EEE86DA9

FA8C119B3F0B1F9C2AA9F5D8908C9536

4EB6B5F6E3CB72869F29D567AC888C05

A7BF176D5BD80C2AD3815EC41E9BA6E6

FBB0BA6E2E570CA1B4F495F3040B6F6D

50B1E6E24A1DB4D68A2D51BD7115BAA3

A7F58A9D83CA22846282994A0393FB82

FE71389ACD3EE1B42A0895668C73DC21

517822AF63D640DFE8C6590B36AD8F80

A803F9914141F2CA72EB0C2162E2BA36

FE742125449AFABB37B21844171FBC99

51817D6FA9F1BA398176ABE63230568A

A866F515362066AEA4BBEF0B6C1BDB13

FF295CF738DE580E2EE41D0100C848AE

53BADCB66F848805E781716F95CF10AB

AA45A3DFD4E7329DF37D8C74F0DA01B4

FFE598B9C3DE334571881035D478ABE4

AA4774F70E080AB0A33C6B8F83C70589

よくあるご質問(FAQ)