フィッシング
「新型コロナウイルス(COVID-19)」便乗脅威の最新情報
新型コロナウイルス(COVID-19)の世界的な流行は、2020年4月に入り深刻度を増しているようです。世界中でこの話題に関する注目が高まっている状況に便乗したサイバー犯罪者の活動に関しては、本ブログ記事でも既に2月4日および3月13日に報告しております。本記事では継続するその後の脅威状況として、4月30日までにトレンドマイクロが確認したCOVID-19便乗脅威の最新情報についてまとめました。
※本記事は新型コロナウイルス(COVID-19)に便乗する脅威に関するまとめ記事です。
最終更新日:12月7日 前回更新日:4月30日 当初公開日:4月9日
新型コロナウイルス(COVID-19)の世界的な流行に便乗したサイバー犯罪者の活動に関し、前回公開の4月30日から11月11日までに確認した最新情報について、情報を更新いたしました。
■最新情報(12月7日更新)
新型コロナウイルス(COVID-19)は、スパムメール、ビジネスメール詐欺(BEC)、マルウェア、ランサムウェア、不正ドメインなど、さまざまな攻撃に利用されています。コロナウイルスに苦しむ人々が数千人規模で増加するにつれ、コロナウイルスに便乗する脅威も同様に増加しています。トレンドマイクロのリサーチャは、コロナウイルスに便乗する攻撃で利用されるサンプルを定期的に入手しています。また、外部のリサーチャからも様々な攻撃が報告されています。現在話題のニュースやイベント、人気の人物を利用するソーシャルエンジニアリングを使った攻撃は、サイバー犯罪者の常套手段です。
新型コロナウイルスは、2020年の第3四半期でもトップニュースであり続けました。トレンドマイクロでは、コロナウイルスをおとりとして利用する脅威が、9月に飛躍的に増加していることを確認しました。急増した攻撃には、ソーシャルエンジニアリングの手口の変化が見られました。サイバー犯罪者は、コロナウイルス関連情報を利用してユーザをだます代わりに、学校からの通知や求人情報を利用しました。例えば、コロナウイルス対策の一環として、多くの学校では生徒の健康状態に関する情報を必要としています。これに便乗した攻撃として、2020年10月下旬、カナダのブリティッシュコロンビア大学の職員を対象とした偽の健康調査にランサムウェアが隠されていたことが、セキュリティ会社のMalwareBytes Labによって報告されています。
フィッシングメールで使用されるヘッダも変更されました。サイバー犯罪者は、COVID-19を件名に利用するのではなく、求人関連の件名でユーザをだまし、スパムメールを開封させています。パンデミックがもたらした景気の低迷により多くの人々が仕事を失い、仕事を探しています。サイバー犯罪者は、そのようなユーザにクリックさせるために、より効果を上げるための最も効率的なおとりを利用します。
- COVID-19に便乗する脅威の規模
トレンドマイクロのクラウド型セキュリティ技術基盤である「Smart Protection Network(SPN)」の統計は、電子メール、URL、ファイルすべてにおいて何百万もの脅威が存在することを示しています。 以下のデータは、SPNにより2020年の第3四半期までに収集された情報です。
不正URLは、フィッシング関連サイト、詐欺サイト、マルウェア(アドウェアやランサムウェア他多数)を保管するドメインにまで及びます。 以下のグラフは、「covid」、「covid-19」、「coronavirus」または「ncov」が文字列に含まれる不正URLに、誤ってアクセスしたユーザの居住国上位10カ国を示しています。トレンドマイクロの2020年上半期セキュリティラウンドアップでは、ユーザがCOVID-19関連の不正URLにアクセスした回数は、4月にピークを記録し、5月と6月にも継続的な活動が見られたことに言及しています。 しかし、第3四半期に入ると、特に8月と9月において不正な活動がさらに増加していることがわかります。
図:2020年第3四半期(7~9月)にCOVID-19関連不正サイトへ誘導されたアクセス元国別割合
(トレンドマイクロSPNによる)
図:全世界におけるCOVID-19関連不正サイトへ誘導されたアクセス数の推移(トレンドマイクロSPNによる)
トレンドマイクロSPNでは、ファイル名に「covid」、「covid-19」、「coronavirus」、「ncov」を利用する不正なファイルも追跡しています。これらのほとんどがトロイの木馬であり、ランサムウェア関連のファイルも少数含まれます。 トレンドマイクロのリサーチャはまた、サイバー犯罪者の利用するフォーラムでCOVID-19を利用するツールやマルウェアが販売されていることも確認しています。 このようなアンダーグラウンドビジネスが、第3四半期におけるCOVID-19 関連マルウェアの活動を促進させた要因の1つである可能性があります。事実、マルウェアファイルの検出数は、9月に急増しました。
図:全世界におけるCOVID-19関連マルウェアの検出台数推移(トレンドマイクロSPNによる)
■最新情報(4月30日更新)
- Coronavirus Installer
Trend Micro Researchではコロナウイルスをテーマにしたマルウェア(「Trojan.Win32.KILLMBR.AA」として検出)を入手、分析しました。このマルウェアは最終的にシステムのマスターブートレコード(MBR)を上書きしてOSを起動不能にする破壊活動を行います。このマルウェアは、チェコのサイバーセキュリティ機関である「NUKIB」が公開したレポートで最初に報告されたものであり、マルウェアファイルのプロパティ情報には「Coronavirus Installer」の文字列があります。また実行後には、「COVID-19」という名前の隠しフォルダを起動ドライブの直下に作成します。この隠しフォルダ内にはマルウェアの活動を実行するための複数のEXEファイルやVBSファイルなどが作成されます。
その後、マルウェアはOSを再起動します。OS再起動後には「coronavirus has infected your PC!(あなたのPCはコロナウイルスに感染した)」というタイトルのウインドウが表示されます。
図:再起動後に表示されるウインドウの例
このウインドウの右上にある通常の終了ボタンは機能せず、閉じることができません。また表示されて2分程度経過するとインターネット接続を確認させる旨のポップアップが表示されます。
図:インターネット接続の確認を促すポップアップの例
右下には[Remove virus(ウイルスの削除)]というボタンがありますが、インターネットへの接続有無に関わらず、グレー表示で無効化されており、クリックできません。左下の「Help」ボタンをクリックすると、ポップアップメッセージが表示され、PCがコロナウイルスに感染しタスクマネージャは起動できないことやこのウインドウを消してもまた表示されることなどを通知します。
図:HELPボタンを押したときに表示されるポップアップメッセージの例
この状態からOSを再起動すると、別のバイナリファイルが実行され、システムのMBRが書き換えられて以下のような灰色の画面が表示されます。ただし、インターネット接続がない状態で再起動した場合にはMBRの書き換えは行われません。先述のインターネット接続の確認を促すポップアップはこのMBRの書き換えを確実にするためのものである可能性があります。
図:MBR書き換え後に表示される画面の例
興味深いことに、このグレー画面の中には主にゲーマー向けのボイスチャット用フリーソフトである「Discord」の連絡先情報が表示されています。最近ではランサムウェア感染の事例で、被害者が攻撃者に連絡して指示を受けるための手段として、このDiscordが使用されている事例が確認されています。これらの活動内容を考え合わせると、このマルウェアは単純な破壊型ではなく、ランサムウェアの活動を意図したものである可能性も否定できません。
- 不正HTAファイル
Trend Micro Researchはある不正HTAファイルを分析し、新型コロナウイルスに対するパキスタン軍の活動に関する内容を含む囮PDFファイルが含まれていることを確認しました。
図:HTAファイル内に含まれていた囮PDFファイルの表示例
HTAファイルはHTMLアプリケーションのファイルです。接続する不正なURLなど、C&Cのインフラの情報から、この不正HTAファイルはサイバー攻撃者グループ「SideWinder」との関連が推測されます。SideWinderに関しては、本ブログでも2020年1月の記事で取り上げていますが、一般的に軍事関連の団体を標的として攻撃を行うことで知られています。今回のHTAファイルの囮PDFがパキスタン軍関連であったことも、SideWinderとの関連性を示すものと言えます。
- 新型コロナウイルスの治療法を餌にするマルウェアスパム
イタリアと中国の利用者を狙ったと考えられるマルウェアスパムを確認しました。このメールの件名「CORONA VIRUS CURE FOR CHINA,ITALY」、添付ファイル名は「CORONA TREATMENT.doc」となっており、新型コロナウイルスの治療方法について想起させるものとなっています。
図:マルウェアスパムのサンプル例
調査の結果、このマルウェアスパムの添付ファイルを開くと、最終的に情報窃取活動を行うマルウェア「HawkEye」の新しい亜種である「HawkEye Reborn」に感染することがわかりました。このマルウェアは高度に難読化されたAutoITスクリプトを実行可能ファイルにコンパイルしたものであり、.NETサービスのインストールツールであるRegSvcs.exeに不正コードをインジェクション(挿入)し、不正活動を継続します。インジェクションされる不正コードは難読化ツールであるConfuserExを利用して難読化されています。マルウェアの不正コード内には窃取したデータの送信するために使用されるとみられるメールサーバと電子メールアドレスとの情報が含まれています。
- ソーシャルメディアの不正なメッセージ
Facebook Messengerでの不正なメッセージも確認されています。トレンドマイクロの調査によれば、新型コロナウイルスによる外出禁止に対し、動画配信サービスの「Netflix」が2か月間の無料で視聴できる、といった内容で利用者を不正サイトへ誘導するものでした。
図:Facebook Messengerの不正メッセージ例
受信者がメッセージ内のURLにアクセスすると、Facebookへのログインを促され、最終的に「Ne Tflix」という名称のFacebook連動アプリのインストールを求められます。
図:連動アプリ「Ne Tflix」のインストール画面例
また、受信者がFacebookにログインしなかった場合、Netflixを無料にするためのアンケートを偽装する不正サイトにリダイレクトされます。
図:アンケートを偽装した不正サイトの画面例
複数のランダムな質問に回答すると、最終的にFacebookの友達20人もしくは5つのグループにこの情報をシェアするよう求められます。つまり、いずれにせよ、受信者はFacebook上のスパムメッセージ送信に加担させられてしまう可能性があるということです。
図:Facebook上での共有を求める画面例
※ここまで4月30日更新情報。以下、4月9日掲載の情報となります:
■全世界におけるCOVID-19便乗脅威の概況
サイバー犯罪者の攻撃経路には、メール経由、Web経由、ファイル(マルウェア)の3種があります。トレンドマイクロのクラウド型セキュリティ技術基盤である「Smart Protection Network(SPN)」の、2020年1月から3月の期間における統計によれば、Web経由の攻撃として全世界から4万7,000件以上のアクセスがCOVID-19関連の不正サイトへ誘導されたことがわかっています。そのうちの13.8%が日本からのアクセスでした。月別推移では、3月に前月比3.6倍の急増となっており、サイバー犯罪者が攻撃を拡大している傾向が読みとれます。
図1:全世界におけるCOVID-19関連*不正サイトへ
誘導されたアクセス数の推移(トレンドマイクロSPNによる)
※抽出条件:URLに”covid”、”covid-19”、”ncov”、”coronavirus”を含むもの
またCOVID-19に関連するマルウェアの検出台数も3月が最大となっており、全世界が注目する話題に便乗しようとするサイバー犯罪者の活発化が示されているものと言えます。これらの検出の多くはトロイの木馬であり、数種のランサムウェアも含まれていました。
図2:全世界におけるCOVID-19関連*マルウェアの検出台数推移(トレンドマイクロSPNによる)
※抽出条件:ファイル名に”covid”、”covid-19”、”ncov”、”coronavirus”を含むもの
■COVID-19便乗脅威の実例
以下では、4月3日までにトレンドマイクロが確認した主なCOVID-19便乗脅威の実例について紹介します。
COVID-19便乗不正サイトの分類ではフィッシングサイトが最も多くなっていますが、具体例として公的機関を偽装するものが確認されています。以下は世界保健機構(WHO)と米国の疾病予防管理センター(CDC)、および英国の政府機関を偽装するフィッシングサイトの例です。
図3:WHOを偽装したCOVID-19便乗フィッシングサイトの例
電話番号、メールアドレス、パスワードの入力を要求
図4:CDCを偽装したCOVID-19便乗フィッシングサイトの例
会社のメールアドレス、パスワードの入力を要求
図5:英国の政府機関を偽装したCOVID-19便乗フィッシングサイトの例
郵便番号を入力させた後、その地域の市議会の名前を表示しクレジットカード情報の入力を要求
また、PCに感染するマルウェアやAndroid端末向け不正アプリを感染させるための不正サイトも確認しています。
図6:COVID-19の拡散状況トラッキングサイトを偽装する不正サイトの例
情報窃取型マルウェアを感染させる
図7:COVID-19に便乗しAndroid不正アプリをダウンロードさせる不正サイトの例
図8: COVID-19関連の内容を含むBECメールの本文例
また、COVID-19に関連した募金や寄付を呼び掛ける詐欺メールも確認しています。以下の詐欺メールでは「COVID19Fund」を名乗り、ビットコインでの寄付を集める内容となっています。また、利用者の関心を惹くためか、「世界保健機構(WHO)への寄付は税制上の優位が得られないが、こちらは税金での控除が受けられる」という旨の内容が含まれています。
図9: COVID-19関連の寄付に偽装した詐欺メールの本文例
少し毛色の変わった詐欺メールとして、「あなたにCOVID-19を感染させる」という脅迫でビットコインを送金させようとするメールも確認しました。本文の内容から考えると、以前からあるセクストーションスパムの内容を少し変更しただけのようです。
図10:「COVID-19に感染させると脅迫する内容の詐欺メール」の本文例
このようなCOVID-19に便乗する攻撃が増加している背景の1つとして、COVID-19に便乗した不正サイトを販売すると謳うアンダーグラウンドフォーラム上の書き込みを、トレンドマイクロでは確認しています。この書き込みの真偽は確認できていませんが、書き込み内の画像は前出のCOVID-19の拡散状況トラッキングサイトを偽装する不正サイトにも似ており、同デザインの不正サイトを簡単に作成するためのツールが存在する可能性があります。
図11: ロシアのアンダーグラウンドフォーラムでのCOVID-19関連不正サイトの販売を謳う書き込みの例
専用コンテンツの作成で200米ドル、コード署名証明書をつけるとさらに700米ドルの追加で販売するとしている
図12: 高品質の医療用マスクであるN95マスクを販売すると謳うアンダーグラウンドフォーラムでの書き込み例
この例では送料込みで1枚15米ドルの値が付けられている
図13: ドイツ製のトイレットペーパーを販売すると謳うアンダーグラウンドフォーラムでの書き込み例
この例では1本12~15ユーロの値が付けられている
※2020年3月以前の情報については以下の本ブログの記事も参照ください。
日本と海外の「新型コロナウイルス」便乗脅威事例(3月17日公開)
実例で見るネットの危険:「新型コロナウイルス」に便乗する攻撃メール(2月4日公開)
■トレンドマイクロの対策
本記事で取り上げたような不正メールに対しては、「E-Mail レピュテーション(ERS)」技術によりブロックに対応しています。また、メールやメッセージから誘導される不正サイトに関しては、「Web レピュテーション(WRS)」技術によりブロックに対応しています。
本記事内で取り上げたマルウェアについては「ファイルレピュテーション(FRS)」技術により順次検出対応しています。従来型の技術での検出を免れるために継続して登場する新たな亜種に対しても、機械学習型検索や振る舞い検知、サンドボックスなどの多層の対策技術により防護可能です。
Android向け不正アプリについては「Mobile App Reputation(MAR)」技術により順次検出対応しています。
参考記事:
- 「Developing Story: COVID-19 Used in Malicious Campaigns」
by Trend Micro
記事構成:岡本 勝之(セキュリティエバンジェリスト)
