主なポイント

• コロナウイルスを題材とした攻撃：サイバーリーズンのNocturnusチームは、特にコロナウイルスにより最も大きな影響を受けている地域を標的とする、コロナウイルスを題材としたファイルやドメインを使用した複数のタイプの攻撃を調査しています。
• 不安に付け込む：攻撃者は、パンデミックを悪用して利益を得るために、ウイルスに関する不安を巧みに操ることで、マルウェアをダウンロードさせています。
• テレワークの従業員を利用：攻撃者は、企業や組織のテレワークへの移行を利用して、VPNインストーラーを装ったマルウェアを広めようとしています。これは、企業がテレワークへの移行を行う際に、VPNの利用を含むベストプラクティスを従業員に提案している場合に特に危険となります。
• モバイルマルウェアを利用：攻撃者は、世界保健機関（WHO）がコロナウイルスからの回復に役立つように開発した正規アプリを装う悪意あるモバイルアプリケーションを開発しています。しかし実際には、アプリケーションは、バンキング型トロイの木馬であるCerberusをダウンロードすることにより機密データを盗もうとするものです。
• 医療機関が標的：攻撃者はランサムウェアを使用して、現時点でほぼ間違いなく最も重要でありかつ過度な労働に疲弊している医療機関を標的としています。

セキュリティ上の推奨事項

サイバーリーズンのNocturnusチームは、フィッシング攻撃を回避する措置を取ることを強く推奨しています。これには、電子メールのフィルタリングのようなツールを利用することだけでなく、従業員を教育することで、リスクを説明すると同時に、日常業務で利用できるシンプルで実用的なヒントを提供することも含まれます。

• 慎重になること：フィッシング攻撃の被害に遭う可能性を大幅に減らすためには、インターネットのブラウジングや電子メールのチェックを行う際に慎重になることが必要です。ユーザーがそこから情報をダウンロードするようなタイプの電子メールに関しては、送信者の真正性をチェックした上で、その内容が自分にとって意味のある物であるかどうかをチェックするようにします。疑わしい場合は、メールに含まれているリンクをクリックせずに、メールを受け取ったことをセキュリティチームに直ちに報告してください。
• 短縮リンクに注意すること：リンクの有効性に疑問がある場合、新規のブラウザウィンドウを開き、問題のURLをそのアドレスバーに入力します。この方法によりURLを調べ、それが本物であることを確認します。
• 機密情報を要求するメールに注意すること：クレデンシャル、クレジットカード情報、およびその他の機密データを要求する電子メールは、通常、合法的なものではありません。特に銀行のような正規の組織が、電子メールを通じて機密情報を要求することは決してありません。機密情報の入力を求める場合、ユーザーをセキュアなWebサイトやその他のチャネルへと誘導します。
• 信頼できるWebサイトからのみファイルをダウンロードすること：自分が利用しているWebサイトが合法的でありかつ信頼できるものであることを必ずダブルチェックします。特定のVPNクライアントをダウンロードする場合、その企業の公式なWebサイトを検索した後、同サイトから直接インストールします。クラックされたバージョンのソフトウェアには、通常、別のソフトウェアやマルウェアがバンドルされており、ダウンロード先のマシンに被害を与える可能性があるため、そのようなバージョンを絶対にダウンロードしないでください。

概要

近年の歴史が教えてくれたように、大規模な出来事は、物理的な次元だけでなく、サイバー次元でも我々に影響を与えます。選挙、オリンピック、戦争、そしてこのコロナウイルスの大流行を含む健康問題は、世界の数10億もの人々に影響を与えると同時に、すぐにサイバー世界にまでも到達しました。

残念なことに、攻撃者は、新たな攻撃方法を見つけるためにグローバルな事件を利用することが多く、COVID-19もその例外ではありません。攻撃者は、市民のパニックを悪用することで、通常であれば開かないような「緊急」のメールを開かせようとしています。

サイバーリーズンのNocturnusチームでは、コロナウイルスを題材にしたファイルやドメインを使ってマルウェアを配布し、世界中の被害者を感染させようとしている数100件ものフィッシング攻撃を継続的に観測しています。

コロナウイルスを題材とした攻撃の初期フェーズ

さまざまな研究機関が報告しているように、一連のマルウェアは、「コロナウイルス」攻撃により配布されたものです。これには、Emotet、RemcomRAT、ParallaxRAT、HawkEye、TrickBot、 Agent Teslaなどが含まれています。これまでに観測されている最も一般的な手法は、悪意ある添付ファイルを含んでいる、コロナウイルスを題材としたメールを使用したスピアフィッシング攻撃です。

コロナウイルス関連のフィッシングメール

コロナウイルスが中国で広がり始めた当初、サイバーリーズンのチームは、これらのコロナウイルスを題材とした悪意あるファイルの大多数が中国から送信されたものであり、中国語を操る人々を標的にしたものであることを観測しました。

ウイルスが拡散を続け、より多くの国へと感染が広がると、アップロード数はわずか数日で数10～数100へと増大し、新しいファイルが毎日のように、さまざまな国から送信される状況となりました。これらの新しいアップロードは、日本、韓国、ヨーロッパ、およびその他の感染国の人々を標的とするものでした。

VirusTotalで見つかったコロナウイルスを題材とした悪意あるファイル

コロナウイルスの影響を最初に受けた国の1つである韓国は、コロナウイルスを題材とした複数の異なるフィッシング攻撃により標的とされました。韓国は、実際にファイルを暗号化することはなく単に被害者を脅して金を支払わせるだけのスケアウェアにすぎない、偽のランサムウェア攻撃によっても標的とされました。

スケアウェアで使用された偽の身代金要求書

標的の切り替え

コロナウイルスの追跡を続けるうちに、我々は、中国が回復プロセスを開始した一方で、パンデミックの中心がヨーロッパ（特にイタリア）へと移動していることを確認しています。その後、コロナウイルスの大流行により、イタリア語を操る人々を標的とした、コロナウイルスを題材としたフィッシング攻撃が大量に発生しています。

イタリア語で書かれたコロナウイルスを題材としたフィッシングメール

2月中旬に始まったイタリアから送信されたコロナウイルスを題材としたファイル

情報の探索を餌食にする

攻撃者が採用しているもう1つのより一般的なトレンドは、コロナウイルスの拡散地図を利用してマルウェアを配布することです。最近公開された情報によれば、この地図は、Azorult Infostealerの悪意あるダウンロードを隠しているとのことです。我々の過去の調査によれば、Azorult Infostealerは、機密情報を盗み出し、その情報を攻撃者に送信することを可能にするものです。

Azorult Infostealerの悪意あるダウンロードを隠しているコロナウイルスの地図

この攻撃において、攻撃者は、自らの悪意あるアクティビティを地図のUIの中に隠しているだけでなく、コロナウイルスを題材としたファイルやドメインの中にも隠しています。

悪意あるコロナウイルスの地図のプロセスツリー（Cybereason Platformでの表示）

偽のVPNを活用

サイバーリーズンのNocturnusチームでは、悪意ある偽のVPNインストーラーの提供の増大も追跡しています。コロナウイルスの広がりを抑えることを目的として、多くの企業がテレワークへと移行しており、それらの企業では、従業員にベストプラクティスとしてVPNを使用するよう促しています。

攻撃者は、このような事態を利用することで、ユーザーを騙して正規のVPNクライアントを装ったマルウェアをダウンロードさせ、ユーザーのマシンにインストールさせようとしています。

サイバーリーズンのNocturnusチームは、さまざまな正規のVPNインストーラーをはじめ、FacebookやInstagramのようなその他のプログラム用のインストーラーを提供する偽のWebサイト（fil24[.]xyz）を発見しました。ユーザーがこのWebサイトにアクセスして「VPN」をダウンロードしようとすると、ユーザーは f444[.]xyzへとリダイレクトされた後、マルウェアをダウンロードさせられます。

VPNを装うマルウェアを含んでいるサイトf444[.]xyzの画面ショット

f444[.]topからダウンロードされたファイルを示すVirusTotalの結果

モバイルマルウェア

モバイルマルウェアも、今回のコロナウイルスの大流行を利用しようとしています。複数の言語で提供される悪意あるWebサイトを利用した攻撃が進行中であり、これらのサイトは正規のアプリケーションを装ったマルウェアをダウンロードするようユーザーをミスリードします。

この「Ways to Get Rid of Coronavirus（コロナウイルスを撲滅する方法）」という名のアプリケーションは、信頼性と信頼性を確立するために「世界保健機関（WHO）」によって作成されたものであると主張しています。

ところが、ダウンロードすると、このアプリケーションは実際には、銀行の機密情報を盗み出すために使われる悪名高いバンキング型トロイの木馬Cerberusをインストールするものです。

実際にはバンキング型トロイの木馬Cerberusをインストールする偽のアプリケーション

病院や研究所に対する攻撃

攻撃者は、今回のこのパンデミックを利用することで、最も過度な労働に疲弊しており最も重要である医療業界を標的にしています。先週、ブルノ大学病院に対するランサムウェア攻撃が発見されました。

この大学には、国内最大級のCOVID-19の研究所があります。マルウェア攻撃が原因で、同病院のITネットワーク全体がシャットダウンした結果、病院におけるその他の部門にも影響が出ました。

この種の攻撃は、すでにストレスを感じている病院のスタッフに対して大きな不安を与えるものであり、その結果、患者間でパニックを引き起こす可能性もあります。医療従事者は、可能な限り多くの状況に関する解決策や情報を探しているため、危機的な状況下では簡単に標的となってしまいます。

このような理由から、医療従事者はフィッシング攻撃の格好の標的となっており、さらに残念なことに、攻撃者は、今後もこの状況を利用することで、破壊的な攻撃により医療機関を標的とし続けるであろうと、当社では予想しています。

おわりに

現時点では、コロナウイルスに関して、それがいつ終息し、現在どのくらいのスピードで広がっているのかについて、不確実性が残っています。この不確実性が世界中で大きな不安を引き起こしており、特にヨーロッパ、イラン、アメリカが現在最も大きな被害を受けている国となっています。

当社では、今回のこのパンデミックを利用したフィッシング攻撃は、特に感染者数が最も多い地域において、今後も高い頻度で発生すると推測しています。

＜緊急時対応チェックリスト＞セキュアなテレワークでビジネスを継続

新型コロナウイルスの感染拡大防止への対策として、多くの企業がテレワークを実施していますが、テレワーク実施時のIT環境の整備やルールの策定、ITセキュリティ・サイバーセキュリティの強化など、IT/セキュリティ担当者が取り組むべき課題が山積しています。

本資料は、急なテレワークの実施に対応するため、セキュリティチームとITチームが取り組むべき項目をチェックリストとしてまとめました。

テレワーク実施時の参考にぜひご活用ください。
https://www.cybereason.co.jp/product-documents/white-paper/4514/