韓国、イタリアで新型コロナウイルスを題材とした攻撃
寺下氏はまず、最近の脅威動向として、世界的な影響を与えている「新型コロナウイルス」に乗じた攻撃について紹介した。主に韓国とイタリアを標的とした攻撃が確認されている。韓国を標的とした攻撃は、マルウェア「Emotet」に感染させるために新型コロナウイルスを題材としたメールが多数確認されている。また、北朝鮮がサポートすると思われる攻撃者が韓国語で書かれた悪意のあるWordファイルを送るケースも確認されている。
イタリアで確認された攻撃はWHO(世界保健機関)をかたるスピアフィッシングで、新型コロナウイルスの感染事例が居住地域で確認されているとして、予防策をまとめたWord文書を開かせ、マクロを有効にさせようとする。
また、「FedEx」など信頼できるブランドを悪用するマルウェアメールも確認されており、PDFファイルに見せかけた添付ファイルを実行するとマルウェア「Lokibot」に感染する。
そして新型コロナウイルスの関連を装うドメイン名の取得が頻繁に行われているという。このうち7割~8割は新規に取得されたもので、サイトのないドメインも多く存在している。現在は過渡期であり、これらのドメインが今後フィッシングやマルウェアサイトとして活用される可能性もあると寺下氏は指摘した。
新型コロナウイルスに関連する攻撃に対処するには、基本的に従来のフィッシングやマルウェアメールと変わらないため、引き続き教育・トレーニングと、脆弱性対策、C&Cサーバーとの通信を検知できる仕組み、BCPの構築などが重要であるとした。
「フォーティネット脅威レポート2019年第4四半期版」では、特徴的な傾向のみを紹介した。同四半期にエクスプロイト活動の標的となった上位25のテクノロジーでは、Ciscoの「Adaptive Security Appliances」のSIP(Session Initiation Protocol)検査モジュールの脆弱性(CVE-2019-12678)を悪用しようとする試みが最大件数を記録した。また、HTTPサーバーへの攻撃も突出して多かった。無線カメラの脆弱性を標的とするエクスプロイトが多いことも特徴となっている。
上位25のテクノロジー(グローバルの検知率と件数別)
IPSによる同四半期における検知率上位25では、最も検知数の多い5つのエクスプロイトのうちの4つが、「ThinkPHP」、「Joomla」、「Drupal」、「vBulletin」といった一般的なCMSの脆弱性を標的としていた。
特にvBulletinへのエクスプロイトは「注目すべき新たな動き」としている。同四半期のマルウェア亜種上位25種では、地域差がほとんどなかった前四半期に比べ、地域によってランキングが異なる状況となった。
