検索:
ホーム   »   サイバー犯罪   »   スパムメール   »   日本と海外の「新型コロナウイルス」便乗脅威事例

日本と海外の「新型コロナウイルス」便乗脅威事例

  • 投稿日:2020年3月13日
  • 脅威カテゴリ:スパムメール, サイバー犯罪, Webからの脅威
  • 執筆:Trend Micro
0

サイバー犯罪者が話題のニュースをマルウェアスパムに利用することは常套手段となっています。彼らはソーシャルエンジニアリングの手法を用いて、現在多くの関心を引く話題、イベントや出来事、あるいは人物を利用し、タイムリーに攻撃します。その意味で、現在世界的な関心事となっている新型コロナウイルス感染症(COVID-19)に便乗する様々な攻撃が、世界中で確認されているのは、ある意味当然のことと言えます。国内では2月4日の本ブログ記事でもお伝えしたような不審メールが確認されていましたが、その後、新型コロナウイルス対策で品薄状態が続くマスク販売の偽サイトを確認しました。またトレンドマイクロのリサーチャーは、世界的にも新型コロナウイルスに便乗したマルウェアスパム、また「coronavirus」および「corona」という単語を利用したマルウェア名や不正なドメイン名の増加を確認しています。

図1:マスク販売を騙る不審サイトの例(3月5日確認)

■国内事例:マスク販売を騙る不審サイト

トレンドマイクロでは3月5日、マスク販売をかたる日本語表示の不審サイトを確認しました。調査の結果、このサイトは利用者の個人情報とクレジットカード情報を詐取しようとするフィッシングサイトであるものと判断されました。

図2:マスク販売を騙る不審サイトの情報入力画面例(3月5日確認)

トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」の統計からは、このフィッシングサイトのURLを本文に含む不審メールを約450通確認できました。これらのメールは送信元として「AmazaClub」を名乗るメールアドレスを使用していました。また、件名はすべて「緊急入荷!数量限定! マスク 使い捨て サージカルマスク レギュラー 50枚 <省略>」という文字列を含んでおり、フィッシングサイトへの誘導を目的としたものと考えられます。件名の頭には、受信者と思われる名前が入っているものがほとんどでした。

【不審メールの内容】 送信元アドレス:”AmazaClub”<BLOCK> 件名:<受信者名> 緊急入荷!数量限定! マスク 使い捨て サージカルマスク レギュラー 50枚 <省略>

現在、新型コロナウイルス対策として各地でマスクが品薄となっている状況の中で、このようなマスク販売名目の不審サイトを作成する動きが複数確認されています。このような不審サイトはすぐにアクセス不能になることが多く、不正なものであるかの判断ができない場合が多いものですが、誘導メールの存在と共にフィッシングサイトであることが確認できた例と言えます。

また、3月12日には「コロナ対策補助金配布」という文字列が入った件名で、本文中のURLから高額賞金の当選詐欺サイトへ誘導するスパムメールも確認されました。このような詐欺サイトへ誘導する不審メールはこれまでも確認されていましたが、その時々で一般利用者の関心が高い話題を利用するサイバー犯罪者の手口を示す一例と言えます。

図3:高額賞金の当選を偽装する詐欺サイトの例(3月12日確認)
■海外事例:マルウェアスパムなどのコロナウイルス便乗脅威

トレンドマイクロでは、米国、ロシア、中国、その他世界各国から送受信された不審メールのサンプルを入手しています。その多くは「公的機関」を偽装して送信されたメールであり、感染症に関する最新情報や推奨される対策を含む内容となっています。これらのほとんどは、不正な添付ファイルを含むマルウェアスパムです。サンプルの1つには、メールの件名に「Corona Virus Latest Updates」(訳:コロナウイルス最新情報)と書かれ、送信元は「Ministry of Health」(厚生省)とされていました。内容は感染を防ぐ方法についての推奨事項で、COVID-19の最新情報とされる文書ファイルが添付されていましたが、実際にはマルウェアでした。

図4:「Ministry of Health」を偽装したマルウェアスパム例

不審メールの多くは、コロナウイルスのまん延の影響による出荷延期、または出荷日程の変更連絡といった、出荷取引に関連するものでした。あるメールは出荷の延期についての通知でしたが、更新された詳細日程とされる添付ファイルには、マルウェアが含まれていました。このメールは日本から送信されたものと見られ、送信元として日本の企業を偽装していました。

図5:日本企業からの出荷延期の通知メールを偽装したマルウェアスパム例

イタリア語やポルトガル語のサンプルも検出されました。イタリア語のメールにはコロナウイルスに関する重要な情報についての内容が、ポルトガル語のメールはCOVID-19のワクチンについての内容が書かれていました。

図6:イタリア語の新型コロナウイルス便乗マルウェアスパム例
図7:ポルトガル語の新型コロナウイルス便乗マルウェアスパム例

また、ファイル名に「corona virus」という文字が含まれるマルウェアも複数検出されています。以下はその一覧です。またトレンドマイクロのリサーチャーは「corona」という単語を含むドメイン登録の増加も確認しています。例えば、「anticoronaproducts」や「beatingcoronavirus」、「cdc-coronavirus」のような文字列を含むドメインです。同様の報告は、セキュリティ企業「Bit Discovery」のリサーチャーも行っています。確認されたドメインの中で不正サイトであったことが確認されたサイトについては本記事最後のIoC情報を参照してください。

ファイル名
トレンドマイクロのパターン検出名
CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm Trojan.X97M.CVE201711882.THCOCBO
CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm Trojan.X97M.CVE201711882.THCOCBO
CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm Trojan.X97M.CVE201711882.THCOCBO
CoronaVirusSafetyMeasures_pdf.exe TrojanSpy.Win32.FAREIT.UHBAZCLIZ
CoronaVirusSafetyMeasures_xls.exe TrojanSpy.Win32.FAREIT.SMTHC.hp
LIST OF CORONA VIRUS VICTIM.exe Trojan.MSIL.AGENTTESLA.THCOCBO
POEA HEALTH ADVISORY re-2020 Novel Corona Virus.pdf.exe Backdoor.Win32.REMCOS.USMANEAGFG
POEA Advisories re-2020 Novel Corona Virus.2.pdf.exe Backdoor.Win32.REMCOS.USMANEAGFE
■トレンドマイクロの対策

本記事で取り上げたような不正メールに対しては、「E-Mail レピュテーション(ERS)」技術によりブロックに対応しています。また、メールやメッセージから誘導される不正サイトに関しては、「Web レピュテーション(WRS)」技術によりブロックに対応しています。

本記事内で取り上げたマルウェアについては「ファイルレピュテーション(FRS)」技術により順次検出対応しています。従来型の技術での検出を免れるために継続して登場する新たな亜種に対しても、機械学習型検索や振る舞い検知、サンドボックスなどの多層の対策技術により防護可能です。

■侵入の痕跡(Indicators of Compromise、IoC)

侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。

参考記事:

  • 「 Coronavirus Used in Spam, Malware, and Malicious Domains 」
    by Trend Micro

記事構成:岡本勝之(セキュリティエバンジェリスト)

翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)

Related posts:

  1. 「新型コロナウイルス(COVID-19)」便乗脅威の最新情報
  2. スパムメール経由で感染する不正PHPスクリプト、攻撃者の企みは失敗か
  3. ブラジルで開催予定「2014 FIFAワールドカップ」に便乗した脅威を確認
  4. 「2014 FIFA ワールドカップ」関連する脅威を引き続き確認 ブラジルの銀行を狙うオンライン銀行詐欺ツール「BANLOAD」も便乗
Tags: 新型コロナウイルス


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.