マリア・パトリシア・レヴィラ・ダクノ(戦術防衛ユニット研究員)
パンデミック関連の情報をおとりに使う、感染ベクターとしてのOfficeドキュメントの利用、パスワードで保護された悪意のある添付ファイルの利用、悪意のあるコンテンツをホストするためのクラウドサービスの利用など、2020年のスパム攻撃のトレンドは2021年も継続する可能性が高いと思われます。
COVID-19の状況が沈静化されるまで、リモートワークやパンデミック関連の話題を積極的に利用したスパムキャンペーンは継続されます。攻撃者は、多くの人がパンデミックに関連した最新の情報を知りたがっていることを理解しており、これらの時事問題を利用しユーザーが悪意のあるコンテンツをクリックしてしまう信憑性の高いメールを作成してきました。
悪意のあるVBAマクロを含んだOfficeドキュメントに加えて、2020年にはExcel 4.0のマクロを攻撃に悪用する動きが観察されました。 この機能を利用して、攻撃者はサンドボックス環境を検知するアンチサンドボックス機能を実装しました。 攻撃に利用できるオフィス製品の古い機能であるExcel4.0のマクロが活発に利用されており、脅威アクターによるExcel 4.0マクロの使用は、2021年にも継続する可能性が高いと思われます。
悪意のある添付ファイルを保護するためのパスワードを利用したキャンペーンが観測されています。 脅威アクターはこの手法を利用して、悪意のある添付ファイルを使いサンドボックスによる自動分析を回避しています。この手法は2020年のEmotetのキャンペーンでも実施されていましたが、さらに多くの脅威アクターがこの手法を利用することが想定されます。
クラウドサービスへの攻撃も脅威アクターの関心を高めています。 GuLoader(さまざまなリモート管理ツール(RAT)マルウェアを配信する用途で使われるファイルダウンローダ)のような人気の高いローダーや、最近ではBuerやBazarLoader のようなRyukランサムウェア攻撃用のローダーもあり、サイバー犯罪者は、フィッシングやペイロードを配信するためのリポジトリーとしてこれらのサービスを使用しているマルウェアキャンペーンなど、スパムキャンペーンでクラウドサービスを引き続き活用していくことが予想されます。
