サイバー犯罪者が話題のニュースをマルウェアスパムに利用することは常套手段となっています。彼らはソーシャルエンジニアリングの手法を用いて、現在多くの関心を引く話題、イベントや出来事、あるいは人物を利用し、タイムリーに攻撃します。その意味で、現在世界的な関心事となっている新型コロナウイルス感染症(COVID-19)に便乗する様々な攻撃が、世界中で確認されているのは、ある意味当然のことと言えます。国内では2月4日の本ブログ記事でもお伝えしたような不審メールが確認されていましたが、その後、新型コロナウイルス対策で品薄状態が続くマスク販売の偽サイトを確認しました。またトレンドマイクロのリサーチャーは、世界的にも新型コロナウイルスに便乗したマルウェアスパム、また「coronavirus」および「corona」という単語を利用したマルウェア名や不正なドメイン名の増加を確認しています。
■国内事例:マスク販売を騙る不審サイト
トレンドマイクロでは3月5日、マスク販売をかたる日本語表示の不審サイトを確認しました。調査の結果、このサイトは利用者の個人情報とクレジットカード情報を詐取しようとするフィッシングサイトであるものと判断されました。
トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network(SPN)」の統計からは、このフィッシングサイトのURLを本文に含む不審メールを約450通確認できました。これらのメールは送信元として「AmazaClub」を名乗るメールアドレスを使用していました。また、件名はすべて「緊急入荷!数量限定! マスク 使い捨て サージカルマスク レギュラー 50枚 <省略>」という文字列を含んでおり、フィッシングサイトへの誘導を目的としたものと考えられます。件名の頭には、受信者と思われる名前が入っているものがほとんどでした。
| 【不審メールの内容】 送信元アドレス:”AmazaClub”<BLOCK> 件名:<受信者名> 緊急入荷!数量限定! マスク 使い捨て サージカルマスク レギュラー 50枚 <省略> |
現在、新型コロナウイルス対策として各地でマスクが品薄となっている状況の中で、このようなマスク販売名目の不審サイトを作成する動きが複数確認されています。このような不審サイトはすぐにアクセス不能になることが多く、不正なものであるかの判断ができない場合が多いものですが、誘導メールの存在と共にフィッシングサイトであることが確認できた例と言えます。
また、3月12日には「コロナ対策補助金配布」という文字列が入った件名で、本文中のURLから高額賞金の当選詐欺サイトへ誘導するスパムメールも確認されました。このような詐欺サイトへ誘導する不審メールはこれまでも確認されていましたが、その時々で一般利用者の関心が高い話題を利用するサイバー犯罪者の手口を示す一例と言えます。
.jpg)
■海外事例:マルウェアスパムなどのコロナウイルス便乗脅威
トレンドマイクロでは、米国、ロシア、中国、その他世界各国から送受信された不審メールのサンプルを入手しています。その多くは「公的機関」を偽装して送信されたメールであり、感染症に関する最新情報や推奨される対策を含む内容となっています。これらのほとんどは、不正な添付ファイルを含むマルウェアスパムです。サンプルの1つには、メールの件名に「Corona Virus Latest Updates」(訳:コロナウイルス最新情報)と書かれ、送信元は「Ministry of Health」(厚生省)とされていました。内容は感染を防ぐ方法についての推奨事項で、COVID-19の最新情報とされる文書ファイルが添付されていましたが、実際にはマルウェアでした。
不審メールの多くは、コロナウイルスのまん延の影響による出荷延期、または出荷日程の変更連絡といった、出荷取引に関連するものでした。あるメールは出荷の延期についての通知でしたが、更新された詳細日程とされる添付ファイルには、マルウェアが含まれていました。このメールは日本から送信されたものと見られ、送信元として日本の企業を偽装していました。
イタリア語やポルトガル語のサンプルも検出されました。イタリア語のメールにはコロナウイルスに関する重要な情報についての内容が、ポルトガル語のメールはCOVID-19のワクチンについての内容が書かれていました。
また、ファイル名に「corona virus」という文字が含まれるマルウェアも複数検出されています。以下はその一覧です。またトレンドマイクロのリサーチャーは「corona」という単語を含むドメイン登録の増加も確認しています。例えば、「anticoronaproducts」や「beatingcoronavirus」、「cdc-coronavirus」のような文字列を含むドメインです。同様の報告は、セキュリティ企業「Bit Discovery」のリサーチャーも行っています。確認されたドメインの中で不正サイトであったことが確認されたサイトについては本記事最後のIoC情報を参照してください。
| CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm | Trojan.X97M.CVE201711882.THCOCBO |
| CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm | Trojan.X97M.CVE201711882.THCOCBO |
| CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm | Trojan.X97M.CVE201711882.THCOCBO |
| CoronaVirusSafetyMeasures_pdf.exe | TrojanSpy.Win32.FAREIT.UHBAZCLIZ |
| CoronaVirusSafetyMeasures_xls.exe | TrojanSpy.Win32.FAREIT.SMTHC.hp |
| LIST OF CORONA VIRUS VICTIM.exe | Trojan.MSIL.AGENTTESLA.THCOCBO |
| POEA HEALTH ADVISORY re-2020 Novel Corona Virus.pdf.exe | Backdoor.Win32.REMCOS.USMANEAGFG |
| POEA Advisories re-2020 Novel Corona Virus.2.pdf.exe | Backdoor.Win32.REMCOS.USMANEAGFE |
■トレンドマイクロの対策
本記事で取り上げたような不正メールに対しては、「E-Mail レピュテーション(ERS)」技術によりブロックに対応しています。また、メールやメッセージから誘導される不正サイトに関しては、「Web レピュテーション(WRS)」技術によりブロックに対応しています。
本記事内で取り上げたマルウェアについては「ファイルレピュテーション(FRS)」技術により順次検出対応しています。従来型の技術での検出を免れるために継続して登場する新たな亜種に対しても、機械学習型検索や振る舞い検知、サンドボックスなどの多層の対策技術により防護可能です。
■侵入の痕跡(Indicators of Compromise、IoC)
侵入の痕跡(Indicators of Compromise、IoCs)はこちらを参照してください。
参考記事:
- 「 Coronavirus Used in Spam, Malware, and Malicious Domains 」
by Trend Micro
記事構成:岡本勝之(セキュリティエバンジェリスト)
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)
