threat-research

最新のCOVID-19(新型コロナウイルス)関連の攻撃:滑稽なものから悪質なものまで幅広い亜種が登場

FortiGuard Labsによる脅威レポート
影響を受けるプラットフォーム: さまざまなプラットフォーム
影響を受けるユーザー: 複数(個人と組織)
影響: 被害者のコンピュータに格納されている機密性の高い情報を収集
深刻度:

世界的なCOVID-19(新型コロナウイルス)パンデミックの発生から6ヵ月が過ぎた今、メディア報道に対する大衆の関心が鈍っているのは明らかです。サイバー攻撃者は、世間の関心が他に移る前に、COVID-19を最大限に悪用しようとしています。これは、選挙、悲惨な事件、スポーツイベントなど、大きな出来事に乗じて攻撃を仕掛ける一般的な戦略です。

最初に3月のブログ記事で解説し、3 / 4号抄訳4 / 2号抄訳4 / 21号(英語)5 / 1号(英語)6 / 3号抄訳でもご紹介したように、COVID-19は例外的な注目を集めたトピックであったため、非常に有効なおとりとして悪用されてきました。世界中のあらゆる人に影響を与えかねないという点で、COVID-19は特殊でした。COVID-19の話題で持ちきりになり、買い占めで店の棚が空になり、医療機器の供給が入荷待ちになるほどのパニック状態に陥ったとき、目端の利くサイバー犯罪者は、この状況をいち早く悪用しました。ところが、数カ月経過した今、このような攻撃の効果は徐々に低下しています。

トレンドと同様に、イベントベースの攻撃の寿命は長くありません。攻撃者は常に被害者の一歩先を行こうとし、ソーシャルエンジニアリングによってリンクをクリックさせたり、さまざまな理由を付けて無害に見える添付ファイルを開かせようとします。たとえば、現在、ほとんどの店舗にはトイレットペーパーや消毒液などの在庫が戻り、コンビニエンスストアでもマスクを購入できるようになっていますから、このような商品を求めてパニックになった購入者に付け込むフィッシングメールの効果はかなり下がっています。数カ月前は効果的でしたが、現在このような攻撃を仕掛けるのは時間の無駄であり、最終的にROIも低下します。

ところが、いまだにこの攻撃に参入する犯罪者は後を絶ちません。これまでにご紹介したCOVID-19関連の攻撃に加えて、滑稽な攻撃から新たなリモートアクセス型トロイの木馬まで、今週報告された複数の攻撃を以下でご紹介します。


典型的な宝くじ詐欺の改良版:2つの例

以下は、「Covid-19 Fund Relieve Award」という件名のフィッシングメールです。

図1:メールの例

図1:メールの例

メール本文では、メールの受信者が、「米国カリフォルニア州Google Head Office Managementが運営する米国Covid-19助成金に関連して提供されるGoogle 21周年記念第2回宝くじの当選者」であることを通知しています。

文法、書式、句読点に明らかなミスがあり、つじつまが合わないことに加えて、大手企業から賞金が授与されるという点で、これは無視し削除してよいメールです。というのは、信頼できる企業や組織は、このような賞の獲得者にメールで通知することはないからです。また、このような大金がいきなり授与される点や、提供元の組織が受賞者の氏名といった基本的な情報を把握していない点も明らかに不審です。

そもそも、Google検索エンジンと、そのライバルが開発したInternet Explorer(かなり前にEdgeによって置き換えられている)の併用が賞金提供の理由として記載されている点からも、これが詐欺であることは明らかです。「筋が通っていないメールは詐欺である確率が高い」というのは、悪意のあるメールを識別するための基本ルールです。

興味深いことに、この詐欺は単体ではありません。さらに調査を進めたところ、詐欺で使用されたメールアドレスのバリエーションが、以下の攻撃でも使用されていることが判明しました。実際、このメールアドレスや、これに類似したレイアウトは、これまで419以上の詐欺で使用されています。3月に発見されたこちらもその1つです。メールで使用されているWhatsAppの電話番号は、南アフリカのものでした。

2番目の詐欺に添付されたPDFファイル(UNITED NATIONS COVID-19.pdf)を開くと、国連のマークなど有名な組織の商標が悪用されているだけでなく、Googleのロゴの「o」にナチのロゴが挿入されていることから、このメールが偽物であることが容易にわかります。

図2:添付のPDFファイル

図2:添付のPDFファイル


ビットコインによる景気刺激策

次は、ソーシャルエンジニアリング攻撃の例です。各国で展開されている経済活性化のための景気刺激策に似せて作られています。文法や書式の問題に加えて、詳細がまったく記載されていない点からも、これが詐欺であることは明らかです。内容はいい加減ですが、攻撃者は誰かしら詐欺に引っかかるのではないか、と期待したのでしょう。

図3:ビットコインのフィッシングメールの例

図3:ビットコインのフィッシングメールの例

リンクをクリックすると、[hxxps://cryptocurrencypandemicclaims[.]uc[.]r[.]appspot[.]com/cryptocurrencyclaims[.]hxxx]へと移動し、[Choose Your Wallet(ウォレットを選択してください)]という画面が表示されます。ここで、暗号通貨取引所を選択します。ビットコインウォレットの設定完了後、ボーナスを獲得するにはウォレットにログインする必要があります。ここで攻撃者は、ビットコインウォレットへのアクセスに必要な資格情報を入手します。

図4:継続するには、ウォレットの選択が必要

図4:継続するには、ウォレットの選択が必要

大手仮想通貨取引所(CoinBase)をクリックすると、別のフィッシングページが開きます。このページは、CoinBaseページと同じルック&フィールですが、URLが明らかに誤っています。

[hxxps://cryptocurrencypandemicclaims[.]uc[.]r[.]appspot.com/home/coinbase/index[.]hxxx#]

図5:Coinbaseのルック&フィールを持つ不正ログインページ

図5:Coinbaseのルック&フィールを持つ不正ログインページ

メールアドレスとパスワードを入力すると、以下のフォームが表示され、詳細の入力を指示されます。

図6:フォームでアカウントデータをリモートURLに送信

図6:フォームでアカウントデータをリモートURLに送信

入力したデータは、リモートにあるフィッシングWebサイト(hxxp://pwwebtraffic[.]com)に送信されます。

図7:pwwebtraffic[.]comにサブミットされるフォーム

図7:pwwebtraffic[.]comにサブミットされるフォーム

FortiGuard Labsのテレメトリを確認したところ、このドメインは、スパムの実行を示す6月初めにかなり活発だったことが示されています。

図8:6ヵ月にわたって急増したpwwebtraffic.comのトラフィック

図8:6ヵ月にわたって急増したpwwebtraffic.comのトラフィック

図8b:pwwebtraffic.comにアクセスした国

図8b:pwwebtraffic.comにアクセスした国

このドメインへのアクセス件数については、ベネズエラが全体の98%を占め、オーストラリア、カナダ、ニュージーランド、ドイツ、米国、チリが残りの2%を占めています。


支払遅延通知でNetWireへと誘導

図9:メールの例

図9:メールの例

COVID-19を悪用した最近の攻撃には、COVID-19による支払遅延通知を装ったメールもあります。添付ファイル(Payment_details.rar)を開くと、Delphiで記載されたファイルが解凍され、次のGoogle Drive URLを呼び出します。

hxxps://drive[.]google[.]com/u/0/uc?id=1AiqquVw81WrAfMFGXfEbQ64Ipx0b-Igt&export=download

これは、ペイロード(16進数のエンコードされたファイル)をホストしています。

このファイルは、次のIPアドレスにもアクセスします。

172.217.18[.]14 (Google Drive)
46.38.151[.]236" (C2)
192.168.0[.]1 (Localhost)

そして、レジストリHKEY_CURRENT_USER\Software\NetWireに書き込みを行います。

さらに、TapiUnattend.exeプロセスが起動し、C2サーバーokamoto[.]hopto[.]org(46.38.151[.]236)にポート3871経由で接続します。このサーバーは英国にあり、名前空間はイランの企業に割り当てられています。FortiGuard Labsのテレメトリによれば、このdynDNS URLはAzorult、Nanocore、NJRATなど過去のマルウェアファミリーにも関連しています。

図10:C2サーバーokamoto[.]hopto[.]orgへのアクセス

図10:C2サーバーokamoto[.]hopto[.]orgへのアクセス

テレメトリによると、最も標的となった3国は、ドイツ(40%)、米国(40%)、オーストリア(20%)です。

図11:C2サーバーokamoto[.]hopto[.]orgへのトラフィック

図11:C2サーバーokamoto[.]hopto[.]orgへのトラフィック


終わりに

COVID-19を悪用した攻撃は、関心の薄れによって減少していますが、メールを大量送信する戦術を使って添付ファイルのオープンや不正リンクのクリックを誘導する攻撃は依然として続いています。COVID-19は、数カ月前と比べるともはや新しいトピックではありませんが、新たなサイクルへと進みつつあります。今もなお詐欺に騙される犠牲者が存在し、そこから価値ある情報を入手できるのですから、攻撃者にとっては、わずか数分でメールを作成するだけの価値があります。

デバイスがマルウェアに感染しないようにし、重要な情報を攻撃から保護するには、サイバー攻撃対策の効果的なプラクティスが必要です。これには、リンクのクリックや添付ファイルを開く前にメールをチェックするようにユーザーをトレーニングする方法、さらに効果的なメールゲートウェイプロトコルを導入し、マルウェアを特定および排除する方法、サンドボックステクノロジーを導入し、悪意のあるコンテンツを特定する方法、CDR(コンテンツ無害化)テクノロジーにより、メールから悪意のあるコンテンツを排除する方法、Webアプリケーションファイアウォールを導入し、悪意のあるリンクやC2サーバーへのアウトバウンド接続を特定およびブロックする方法があります。


減災策

アンチウイルス:
最新のFortiClientアンチウイルス定義を実行しているユーザーは、以下のシグネチャによって保護されます。

ファイル名: Payment_details.exe
[SHA256: B673FE86224DBA05FA6B976AAA6561709B8B3FC370DCEF01C798D7F5D3414728]
検知: W32/GenKryptik.EKLE!tr

ファイル名: UNITED NATIONS COVID-19.pdf
[SHA256: AB3C3D51D50B253FF85052C195D146FE6A9192B496D22C13E72C8E561F06DB10]
検知: PDF/Phishing.AUS!tr

Webフィルタリング:
次のネットワークIOCは、現在FortiGuardのWebフィルタリング機能によってブロックされています。

フィッシング:
hxxps://cryptocurrencypandemicclaims[.]uc[.]r[.]appspot[.]com/home/coinbase/index.hxxx#
hxxp://pwwebtraffic[.]com

特定されたC2サーバー:
okamoto[.]hopto[.]org

FortiGuard Labsは、すべてのAVシグネチャとIPSシグネチャ定義を継続的に更新すること、ならびにベンダーのアップデートが公開されたタイミングでプロアクティブにパッチを適用することを推奨します。パッチの適用が不可能であると判断される場合は、プロキシミティコントロール(仮想パッチ)にIPSを使用する方法や、更なる減災策を特定するためにリスク評価を実施する方法をお勧めします。

その間、継続的なトレーニングセッションを実施し、最新のフィッシング / スピアフィッシング攻撃について従業員を教育して、情報を提供することを強くお勧めします。また、知らない人から送信された添付ファイルは絶対に開かないこと、心当たりのない / 信頼できない送信者からのメールは常に慎重に扱うことを従業員に呼び掛ける必要があります。

初期アクセスの制限:FortiMailまたはその他のセキュアメールゲートウェイソリューションを使用することで、このブログで概説したような特定のファイルタイプをブロックできます。FortiMailは、オンプレミスまたはクラウドのいずれかでFortiSandboxソリューション(ATP)に添付ファイルを送信して、ファイルが悪意のある動作をするかどうかを判定するようにも構成できます。FortiGateファイアウォール、アンチウイルスの有効化、有効なサブスクリプションを組み合わせ、適切な設定を行うことで、この脅威を検出およびブロックできます。

教育とトレーニングの実施:この脅威はソーシャルエンジニアリングを用いた拡散メカニズムで配信されることが報告されています。したがって、ソーシャルエンジニアリングを介して配信されるさまざまな種類の攻撃に対する組織内エンドユーザーの認識を高めることが重要です。そのためには、組織内での定期的なトレーニングセッションと、セキュリティ部門が事前作成したテンプレートを使用した抜き打ちテストを実施します。悪意のある添付ファイルやリンクを含んだメールの特定方法をユーザーに教えるセキュリティ意識向上トレーニングを実施することで、ネットワークへの初期アクセスを阻止できる可能性があります。

フォーティネットのソリューション:意識向上トレーニングに効果がなく、ユーザーが悪意のある添付ファイルやリンクを開いたとしても、FortiEDRはマルウェアの実行を阻止することができます。また、FortiClientは、最新のウイルスシグネチャを実行することで、悪意のあるファイルや関連ファイルを検知およびブロックします。

情報流出とC&C:すべての出入口にFortiGateのWebフィルタリングサービスを配備して有効化し、シグネチャが最新またはボットネットセキュリティが有効であり、正しく構成されている場合、観測可能なアウトバウンド接続を検出およびブロックすることが可能です。

Webフィルタリング:本レポートに記載されているすべてのネットワークIOCは、FortiGuard Webフィルタリングサービスのブロックリストに登録されています。FortiWeb WAF(Webアプリケーションファイアウォール)は、Webベースのマルウェア / 攻撃対策を強化する方法としても使用できます。

悪意あるWord文書への対策:FortiMailとFortiGateがサポートするFortiGuard CDR(コンテンツ無害化)は、すべての受信ファイルを処理して分解し、あらゆるアクティブコンテンツをリアルタイムでファイルから除去して、フラットで無害なファイルを作成します。CDRを利用して、ファイルに不正コンテンツが含まれる可能性をプロアクティブに排除することで、ゼロデイマルウェアに対する保護戦略を強化できます。

その他のフォーティネットセーフガード:高度化した攻撃は、セキュリティ対策を迂回する可能性がある点に留意してください。したがって、階層型セキュリティ戦略に加えて、被害をもたらす可能性のある変則的アクティビティを検出する機能を実装することが重要です。

また、フォーティネットのEnterprise Protectionは、このような攻撃や同様の攻撃にさらに包括的な方法で対処します。Enterprise Protectionには、IoTデバイスを含むエンドポイントからクラウドまで、あらゆるサイバー攻撃チャネルからの保護と防御に必要なすべてのサイバーセキュリティサービスが統合されています。今日の高度な脅威に立ち向かい、困難なリスク、コンプライアンス、管理、可視化、運用セキュリティ(OT)の課題に対処する上で欠かせない統合型防御機能を提供します。


FortiGuard Labsの脅威リサーチ、およびFortiGuardセキュリティサブスクリプション / サービスのポートフォリオについて、詳細をご覧ください。FortiGuard Labs Weekly Threat Brief(英文)の購読は、こちらからお申込みいただけます。

フォーティネットの無償サイバーセキュリティトレーニングについて、またフォーティネットのネットワーク セキュリティ エキスパート プログラムネットワーク セキュリティ アカデミー、およびFortiVetプログラムについて、詳細をご覧ください。