サイバー犯罪者による攻撃メールでは、受信者を騙し、不正サイトへ誘導したり、添付ファイルを開かせたりしようとする手口が日常的に使用されています。中でも、その時々に注目を集めている話題に便乗する手口は、大きなイベントの開催や事件発生の度に見られる常套手段です。今、世界的に注目されている事件と言えば、中国の武漢で発生したとされる新型コロナウイルス(2019-nCoV)でしょう。その影響は中国とその周辺諸国から世界的に広がっており、世界保健機関WHOは「世界的な緊急事態」を宣言、日本の厚生労働省も公式勧告を出しています。サイバー犯罪者がこのように注目される話題に便乗することは、ある意味当然のことですが、トレンドマイクロでは実際に、この新型コロナウイルスの話題に便乗する手口を連続して確認しました。
図1:新型コロナウイルスに便乗するテキストメッセージの例
(2020年2月確認の内容から再構成)
新型コロナウイルスに便乗する手口の1つは、携帯電話のテキストメッセージ(SMS)として確認されました。トレンドマイクロが確認したところでは、この文面の不正SMSは2月3日の午後4時前後から拡散しているようです。
不正なSMSと言えばここ数年、宅配便の不在通知を偽装する手口が、常套手段的に見られていました。今回の新型コロナウイルスに便乗したSMSは、これまで宅配便偽装の手口を使ってきた攻撃が、新たな話題に便乗してきたものでした。誘導先の不正サイトはこれまでの攻撃と同様です。Android端末でアクセスした場合、宅配便会社を偽装した不正サイトから不正アプリ「Xloader」がダウンロードされます。iOS端末の場合はApple社を偽装したフィッシングサイトに誘導され、Apple IDやクレジットカード情報などが詐取されます。
図2:不正SMSから誘導される不正サイトの例(Android端末の場合、2020年2月確認)
図3:不正SMSから誘導される不正サイトの例(iOS端末の場合、2020年2月確認)
もう1つはマルウェア「EMOTET(エモテット)」を拡散させるためのマルウェアスパム、つまり電子メールで確認されました。トレンドマイクロが確認したところでは、同様の文面のマルウェアスパムは1月28日前後から拡散しているようです。
図4:新型コロナウイルスに便乗するマルウェアスパムの例(2020年1月28日確認)
図5:新型コロナウイルスに便乗するマルウェアスパムの例(2020年1月29日確認)
図で示したように、このマルウェアスパムには件名や本文、添付ファイル名などが異なる複数のバリエーションがあります。ただし「武感市」のような誤記は同じであり、共通した文面を元にバリエーションを作っているものと考えられます。いずれにせよ、メール本文では新型コロナウイルスの急速な拡散について注意を促し、感染予防対策の書かれた「別添通知」の確認を指示する内容となっています。そして、この「別添通知」こそ、マルウェア「EMOTET(エモテット)」を感染させるための不正マクロを含むWord 文書ファイルです。以前のEMOTETの活動で見られた手法と同様に、文書には、 [コンテンツの有効化]ボタンをクリックするよう指示が含まれています。受信者がこのボタンをクリックすると、マクロが有効化され、PowerShellコマンドを使用して外部の不正サイトからEMOTETがダウンロード、実行されます。
図6:添付Wordファイルの例(2020年1月28日確認)
同様のマルウェアスパム事例については、セキュリティ研究開発機関「IBM X-Force」をはじめ、複数のセキュリティ団体からも報告されていますが、送信者の署名などで実在の保健所名が使われていることも共通しています。この実在の保健所名を含め、メール本文の内容をEMOTETを使うサイバー犯罪者が考えたのか、スパムメールの送信業者が考えたのかは断定できません。注意しなければならないのは、EMOTETには感染環境のPCから、メール情報を窃取する活動を持っていることです。窃取したメールに対し返信や転送の形式で攻撃メールを送る手口は、大きな感染拡大に繋がっているものと考えられています。同様の方法で、窃取したメール情報を元にこのメール本文を構築した可能性もあります。
宅配便偽装SMSを使用するサイバー犯罪者は、これまでも攻撃手口を多様に変化させてきました。EMOTETを拡散するサイバー犯罪者は、有名なニュースや年末ボーナスなど、その時々の話題に便乗する攻撃メールを使用してきています。いずれのサイバー犯罪者においても、新型コロナウイルスの話題に便乗することを選択したのは、ある意味当然のことと言えるでしょう。今後も大きなイベントや事件が発生する度に、サイバー犯罪者は便乗した攻撃を仕掛けてくることは間違いありません。また、メール本文の日本語も、以前に窃取したメール本文やインターネット上の文章などを「例文」として使うことにより、日本語として違和感のないものが増えていくと考えられます。興味のある情報を含んだメールやメッセージを受信した際も、いったん立ち止まってメールやメッセージ、URL、添付ファイルなどの正当性を判断してください。
■被害に遭わないためには
スパムメールやメッセージに利用されるソーシャルエンジニアリングの技術は高度化しており、引き続き深刻な脅威として警戒が必要です。以下は、企業や組織のシステムを保護するための推奨事項ですが、個人利用者にとってもポイントは同じです。
- メール、特にリンクや添付ファイルの含まれるメールは慎重に調査する。信頼できる送信元からのメールに見える場合でも、公式サイトに記載されている詳細を確認し、連絡先情報を確認する
- セキュリティに関する意識向上のためのトレーニングを従業員に実施して、電子メールを利用した脅威への対策を周知する
- オペレーティングシステム(OS)とアプリケーションソフトウェアに最新の更新プログラムを適用し、最新の状態にしておく
- スパムメール対策のフィルタが適切に設定されていることを確認する
- 必要最小限の権限以外は一切許可しない「最小特権の原則」に従う
EMOTET のような脅威に対抗するためには、ゲートウェイ、エンドポイント、ネットワークおよびサーバにいたる多層的で積極的なセキュリティ対策が必要です。
■トレンドマイクロの対策
本記事で取り上げたような不正メールに対しては、「E-Mail レピュテーション(ERS)」技術によりブロックに対応しています。また、メールやメッセージから誘導される不正サイトに関しては、「Web レピュテーション(WRS)」技術によりブロックに対応しています。
本記事内で取り上げたAndroid不正アプリについては「Mobile App Reputation (MAR)」技術により順次検出対応しています。
本記事内で取り上げたマルウェアについては「ファイルレピュテーション(FRS)」技術により順次検出対応しています。従来型の技術での検出を免れるために継続して登場する新たな亜種に対しても、機械学習型検索や振る舞い検知、サンドボックスなどの多層の対策技術により防護可能です。
特に最近猛威をふるっているEMOTETに対しては、脅威の概要と対策をまとめた特設ページを用意しております。EMOTETに関する技術的対策の考え方とトレンドマイクロの具体的な対策については特設ページを参照ください。
参考記事:
- 「 Emotet Uses Coronavirus Scare in Latest Campaign, Targets Japan 」
by Trend Micro
記事構成 :岡本勝之(セキュリティエバンジェリスト)
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)
