industry-trends

COVID-19(新型コロナウイルス)関連のサイバー攻撃について:FUD(恐怖、不安、疑念)に付け入る手法

FortiGuard Labsの視点から脅威を解説

サイバー犯罪者がパニックや疑念を利用し、時にはさらなる行動に出てターゲットを偵察して、メールを開いた被害者を餌にかけるために、緊急性を匂わせて誘うメールを作成するといった行動は、今に始まったことではありません。

しかし、COVID-19(新型コロナウイルス)に関連する攻撃はどのように配信されるのでしょうか。展開されているマルウェアのタイプと目的はどのようなものでしょうか。最近、FortiGuard Labsの脅威研究者として、これらの悪意のあるキャンペーンに対応した2名とオンラインで会合し、これらの攻撃に関する見解を聞きました。


最近確認された攻撃を踏まえると、どのような要素が利用されているのでしょうか? また、それはどのような理由からでしょうか?

Jonas:ソーシャルエンジニアリングの観点では、パニックの要素が最大限に強調されていると言えます。特に、COVID-19に関連して病院、医療機器メーカー、健康保険会社をターゲットとするキャンペーンには、いずれもその傾向が見られます。これらの攻撃は、医療関連の機器や備品が不足しているという事実を利用し、そこから利を得ようとしています。

Douglas:パンデミック(感染拡大)をめぐる誤報や恐怖が世界中にあふれており、サイバー犯罪者に悪用されてこれらのキャンペーンはますます勢いを増しています。とりわけ、メールなどの通信が緊急性を装ったものであったり、信頼できないソースからのものであったりする場合には、今まで以上に慎重に行動することが重要です。用心深さが逆効果になるという主張があることは承知しています。それでも、よく確認せずにファイルをクリックしたために全社的に業務が停止することほど、逆効果であったり破壊的であったりすることはないでしょう。


これらの攻撃は、一般的にどのように開始され、具体的に何を悪用していますか?

Jonas:これらの攻撃のほとんどはメールを介して配信されるため、大量のスパムのキャンペーンが実行されることが一般的です。その一方で、標的を厳密に絞った攻撃もあり、さらにはDDoSの偶発的な攻撃や計画的な攻撃も散見されます。もちろん、DDoSは攻撃者によって直接引き起こされることも、単にこの新しいシナリオによる膨大なメール量が発生していることもあります。その上、現在は誰もが、ビデオストリーミング、ブラウジング、オンラインショッピング、オンラインゲームだけでなく、テレワークやビデオ会議により長時間接続するようになりました。それにもかかわらず、多くのインフラストラクチャは、この新たな需要の波を受け止める準備ができていません。これに加えて、メールベースの脅威は、パンデミックに対する切迫感やパニックの心理に付け込み、多くの場合に政府の保健機関、NGO、医療機器サプライヤーになりすまして攻撃を実行しています。

Douglas:「組織の重大問題を解決する方策」を提示しているようなメールを突然受け取ったら、ほぼ確実にサイバー犯罪者のスキームであるということを忘れてはなりません。


COVID-19のテーマを利用している最も一般的な脅威はどのようなものですか?

Jonas:これらのメールの脅威は、マルウェアをシステムに配信することを目的としています。COVID-19のテーマを使用するこれらのキャンペーンの場合、大部分はインフォスティーラー(情報窃取型マルウェア)、ランサムウェア、RAT(リモートアクセス型トロイの木馬:ハッカーがコンピュータまたはネットワークを監視および制御できるようにするマルウェア)です。このような時期には、多くの人々が蓄えやビットコインでオンラインeコマースを積極的に利用しており、サイバー犯罪者はこのトレンドに乗じて認証情報を盗み出す機会を増やしたいと考えます。

Douglas:インフォスティーラーの増加を考えると、それが論理的に引き出される結論です。主として重要インフラストラクチャをターゲットとするランサムウェアの脅威については、重大な出来事が起こっている時期には重要インフラストラクチャの重要性がさらに高まります。そのため、ターゲットの企業がインフラストラクチャを復旧させようと身代金を支払う可能性が高くなり、ランサムウェアはこの事実を利用します。これはパンデミックが起こる前にも当てはまることでしたが、現在は重要インフラストラクチャを狙ったランサムウェアの検知が急増しています。

高度な脅威

高度な脅威


これらの攻撃を拡散するために攻撃者が使用している新しい手法やトリックはありますか? また、そのような攻撃はどの程度巧妙ですか?

Douglas:特に新しいわけではありませんが、洗練されています。多くは、複数の難読化、さらにVM対策、分析対策、デバッグ対策の手法を備えています。これらの多段階型攻撃は、通常はドキュメントに読み込まれた悪意のあるマクロによって配信されますが、一部はそのまま実行可能ファイルであり、逆コンパイルまたは実行によってAutoITスクリプト(AV対策のトリックとして使用される広く知られたパッカー)が明らかになります。

その後、通常のウイルスのライフサイクルが続きます。これらの脅威は、一時的に存続するために正当なシステムプロセスを探し(プロセスの挿入)、続いて一般的なファイル共有サービスでホストされる別の悪意のある実行可能ファイルをダウンロードすることで攻撃を続行します。

Jonas:よく知られている高度な攻撃手法と多層の難読化を利用します。つまり、攻撃者はネットワークに侵入するための相応の高い能力を持っており、その点を念頭に置いて対応する必要があります。今日のような時期に、高度な脅威を実行する能力を持つ攻撃者は、人々の恐怖と不安が高まっているという事実を利用します。また、テレワーカーへの対応のためにネットワークの調整を急ぐ必要があった組織では、サイバーセキュリティが緩くなりがちであることも理解しています。


これらの攻撃で新しい脆弱性は確認されていますか?

Douglas:これまでに見られたすべての攻撃は、既知の手法を利用したものであり、ほとんどの場合にユーザーの過失、そして内部セグメンテーション、EDRサンドボックスメールのセキュリティ適切なアクセス制御などの適切なセキュリティ対策の欠如によって伝播されています。


特に集中的に狙われている業種や地域はありますか? また、それはどのような理由からでしょうか?

Jonas:パンデミックの深刻な影響を受けている国が狙われやすくなっているようです。当然ながら、パンデミックに迅速に対応しなければならない業種もターゲットになっています。これらの企業がパンデミックの深刻な影響を受けた国で事業を行っている場合は、特に狙われています。これらの攻撃は、ガス、石油、発電所などの重要なサービスでも確認されています。


組織や個人は、自己防御のために何ができるでしょうか?

Douglas:組織は、サイバーセキュリティのユーザー意識向上トレーニングだけでなく、あらゆるプロセスとやり取りにおいて、個人か企業を問わず会社全体でサイバーセキュリティの考え方を構築して維持することに注力すべきです。サンドボックスを備えた堅牢なメールセキュリティソリューションを使用することで、ネットワークの境界でこれらの脅威を阻止することもできます。理想的には、そもそもこれらのフィッシングメールが伝播してユーザーの受信トレイに到達しないようにすることです。多くの組織では、テレワーカーの新しい環境が定着したところです。この段階で、加えられたすべての変更を改めて確認し、導入された可能性のあるセキュリティギャップを埋める必要があります。


FortiGuard Labsの脅威リサーチ、およびFortiGuardセキュリティサブスクリプション / サービスのポートフォリオについて、詳細をご覧ください。FortiGuard Labs Weekly Threat Brief(英文)の購読は、こちらからお申込みいただけます。

フォーティネットの無償サイバーセキュリティトレーニングについて、またフォーティネットのネットワーク セキュリティ エキスパート プログラムネットワーク セキュリティ アカデミーについて、詳細をご覧ください。