エフセキュアの最新調査によると、中国を発生源とする新型コロナウイルスに便乗したEメール攻撃が、ウイルスの感染拡大と共にアジアから欧米諸国に拡散していることが明らかになりました。
サイバー犯罪者やその他の脅威アクターは、タイムリーな時事的な話題を悪用することが良くあります。 その出来事に関心が高く、疑いを持たないユーザの興味を惹きつけ、Eメール内のリンクをクリックさせて悪意のあるWebサイトへ誘導したり、メールの添付ファイルにマルウェア入れ込み,そのメールを開かせて感染させたりします。
新型コロナウイルスの蔓延を抑えるために、世界中の人々が移動を制限するなどの対策を講じていますが、スパム業者(スパマー)とフィッシング詐欺師は、パンデミック関連情報をオンラインで知りたいという人の欲求をうまく利用することを考えています。
エフセキュアでは、今年の1月から新型コロナウイルスを題材にした攻撃の急増を観測していますが、この投稿では、攻撃者の活動状況、注意すべき点、在宅勤務でこの危機を乗り切ろうとしている人々の安全を確保するための方法について説明します。
マルスパムキャンペーン
エフセキュアのタクティカル・ディフェンス・ユニットでは、コロナウイルスをテーマにしたスパムキャンペーンを追跡しています。キャンペーンは、ウイルスの感染拡大と並行するように新しい地域に拡大しています。この部門でサービスリーダーを務めるKarmina Aquino(カルミナ・アキノ)は、ニュースや公的勧告を後追いするようにスパムメールが出回っていることに気付き、それらの相関関係を調査しました。観測された最も初期のスパムキャンペーンは、日本を攻撃対象としていましたが、その後攻撃は欧米へと移動していきました。以下に示すタイムラインの例では、スパムメールの内容が実際の新型コロナウイルスの拡大状況を反映していることが分かります(時には、新型コロナウイルスの感染がニュースになってから24時間以内にそのニュースを反映したスパムメールが配信されています)。
「日和見的な脅威アクターにとって、最新ニュースを題材とする手法は目新しいものではありませんが、興味深いことは、配信されたスパムメールが、次々と新型コロナウイルスの話題を取り上げるようになったことです」とエフセキュアのリサーチャーであるMaria Patricia Revilla Dacuno(マリア・パトリシア・レビージャ・ダクーノ)は述べています。「さらに興味深いことは、スパムメールの内容の骨子には実際のニュースの内容や、公的勧告が使われている点です。これによって、Eメール自体を正当化することに効果的役割を果たしています」
これらのスパムキャンペーンで使用されているマルウェアには以下のものがあります。
- EmotetとTrickbot – さまざまなペイロードを配布する非常に高度なモジュール型のEmotetは元々、インフォスティーラーやマルウェア配信などの新しい機能を盛り込むように更新/アップグレードされたバンキング型トロイの木馬でした。Trickbotを配信して、次にRyukランサムウェアを配信することが知られています。
- Agent Tesla – ブラウザからEメールの資格情報とパスワードを盗むためのキーロギング機能を備えたインフォスティーラーです。
- Formbook – ブラウザからパスワード/資格情報など、被害者の機密情報を盗み出すインフォスティーラーです。
- Lokibot – ブラウザ、FTPクライアント、およびCryptoCoinウォレットからEメールの資格情報とパスワードを盗み出すインフォスティーラーです。
- Remcos RAT – サイバー犯罪者が使用するリモートアクセスツールで、攻撃者は被害者のシステムをリモートから制御し、コマンドを実行することができます。.
新型コロナウイルスを題材にしたスパムで使用される最も一般的なEメールの件名は次のとおりです。
マスク詐欺
エフセキュアでは、マルウェアを含むスパムメールに加えて、広範囲にわたるマスク不足を悪用した大量のスパムメールも観測しています。Patriciaによると、これらのEメールは一般的なれた詐欺です。犯罪者は買い手に支払いを促しますが、商品が送られてくることはありません。
「単純に思えますが、これはソーシャルエンジニアリングの良い例です。人々はすでに新型コロナウイルスに対して自力で予防措置に取り組まざるを得ないため、マスクの広告は魅力的で、クリックするだけで問題が解消するように思わせてしまいます」とPatriciaは説明しています。
マスク詐欺のスパムメールにおける最も一般的なメールの件名は以下のとおりです。
そして、新型コロナウイルスを題材にしたマスク詐欺の最も一般的なメールの件名は以下のとおりです。
スパムを回避するだけでは安全を維持できない
少なくともサイバーセキュリティに関して言えば、スパムメールは防御側にとっても新しい攻撃手法ではありません。まだ、新たなキルチェーン手法やマルウェアの種類は確認されていません。新型コロナウイルスを題材にしているのは、既存の脅威アクターがスパムキャンペーンのクリック率を高めることを目的としています。したがって、ユーザが受け取ったメールのリンクや添付ファイルをクリックする前に落ち着いて注意を傾ける限り、対処しやすい問題です。
多くの企業は、この世界的危機を受けて、従業員にリモートワークを要請または義務付けています。しかし、一部の企業やその従業員にとっては、馴染みのない作業環境であることから、セキュリティに影響を及ぼす可能性があります。
企業は、リモートでもオフィスと同じように安全に業務を遂行できるように、多要素認証を含め、VPNなどの安全なリモートアクセス技術が適切に導入され構成されていることを確認する必要があります。また、従業員が無許可で個人のデバイスを業務に使用することを禁止することも重要です。これらのデバイスは監視することが難しく攻撃の侵入を許してしまうからです。
カテゴリ