ソーシャルエンジニアリングを駆使してクリックや添付ファイル開封を促す
身の回りでは新型コロナウィルスの緊急事態に便乗したトラブルが増えている。通販サイトで「ペーパーマスク」という商品名でマスクのイラストが印刷した冊子が販売されていたり、マスクを送りつけたりするケースもある。SNSでは10万円の特別給付に絡めた不審なメールの注意喚起も見かける。身近な人たちが巻き込まれないように注意しておきたい。
本稿では新型コロナウィルスに関連したメール攻撃に着目する。「マクニカネットワークス 情報セキュリティEXPO Web版 特別オンラインセミナー」にて勅使河原猛氏がフィッシングやBEC(ビジネスメール詐欺)に関する動向を解説した。
まずは新型コロナウィルス感染症(COVID-19)に関する悪性ドメインの取得数を見てみよう。攻撃者の活動が活発かどうかを推測する手がかりとなる。「COVID-19」に似たスペルの悪性ドメインの取得数に感染者数推移を重ねると、感染者数の増加に若干先行する形で悪性ドメインの取得数が伸びている。
悪性ドメイン取得数が増加したきっかけとして考えられるのがWHOの発表だ。WHOが「COVID-19」と命名した直後とパンデミックを宣言した直後に大きく伸びている。「COVID-19」が世界中に認知されるキーワードとなったのをうけ、サイバー攻撃者らはドメインを取得したようだ。
今のところ、新型コロナウィルスに関するメール攻撃では情報の不正窃取を目的とするフィッシングが多く観測されている。典型的なのが有名な組織や企業のふりをしてメールを送り、資格情報を窃取するサイトに誘導するというもの。Microsoft 365など有名なWebサービスを模した偽の認証画面から不正なサイトに誘導するものもある。
勅使河原氏によるとマルウェアを使うケースでは、既知の犯罪グループ「SWEED」が使うAgentTeslaやLoki、あるいはマルウェア提供業者が販売するRemcos、NanoCore、Hawkeyeなどが使われているという。