サイバー犯罪者はコロナ禍の時期においても活発に活動を行っており、フィッシングメールおよびフィッシングサイトの検出数も増加しています。トレンドマイクロの最近の調査では、あたかも一般企業が運営するサイトのように見せかけたドメインをフィッシングに使用する手口を確認しました。本ブログではこの手口について実際の事例と共にご紹介します。
続きを読むトレンドマイクロでは2020年の1年間における国内外での脅威動向について分析を行いました。新型コロナウイルス(COVID-19)のパンデミック(世界的大流行)により、2020年は過去に類を見ない特別な1年間となりました。日本でも緊急事態宣言や外出自粛要請があり、法人組織は事業を継続するために、急激なテレワークの推進などの大きな変化に直面しました。これらの状況により、さらに進んだネットワーク境界線の曖昧化を利用し、サイバー犯罪者はさまざまな手口を駆使した攻撃を次々に展開しました。境界線内、つまりネットワークへ侵入する脅威として、2020年の象徴的存在となったのが新たなランサムウェア攻撃であると言えます。

マルウェアキャンペーンの背後に潜む犯罪組織の正体を見極めるのは難しい作業です。サイバー犯罪者は標的であるユーザや企業を混乱に陥れたり、システムやネットワーク環境に危害を加えたりするために設計したソフトウェアに自身の正体が露呈するような痕跡を残すことはめったにありません。しかし、識別のカギとなる情報を既知の情報源と比較することで、そのキャンペーンが特定のサイバー犯罪集団によって実行された可能性が高いと判断することができます。これは犯罪組織が長年にわたり活動を継続し比較対象となる痕跡を多く残している場合、さらに信憑性が高くなります。トレンドマイクロが発見し「Operation Earth Kitsune」と名付けた標的型攻撃キャンペーンについてその「TTPs(=Tactics, Techniques and Procedures:戦術、技術、手順)」に関する詳細解析の結果をホワイトペーパー(英語)にまとめて公開し、本ブログでも概要について報告しました。このキャンペーンに関与した2種の新たなスパイ活動を行うバックドア型マルウェアを拡散する水飲み場型攻撃の技術的な詳細解析を行う中で、韓国を主な標的とすることで知られるサイバー犯罪集団「APT37(別名:Reaper、Group 123、ScaCruftなど)」に起因した別のマルウェアとの顕著な類似性を発見しました。
続きを読むフィッシングは現在もサイバー犯罪者がインターネット利用者を攻撃するうえで効果的な手口です。新型コロナウイルスの流行で消費者の購買手法が変化したことによってネットショッピングの利用は世界中で急激な増加を見せていますが、サイバー犯罪者もまたそれに対する攻撃キャンペーンを迅速に展開しています。トレンドマイクロでは昨年2020年末から、クレジットカード利用者を対象にした特定のフィッシングメールの攻撃キャンペーンに注目し、追跡しています。
このフィッシングキャンペーンの背後にいる攻撃者は、国営の郵便サービスによる配送に関連したフィッシングメールを送信し、利用者のクレジットカード番号を窃取します。送信されたフィッシングメールは、認証情報を詐取するためのフィッシングサイトへと利用者を誘導しようと試みます。この攻撃は、米国、スイス、中国、日本、シンガポールなど少なくとも26カ国に及ぶ広い範囲に送信されています。なお、このフィッシングキャンペーンについては、すでに香港の報道機関や米国でも報告されています。
2020年12月1日から2021年1月10日までの間に、郵便サービスを偽装する不審なフィッシング関連URL計279,308件(1日平均6,812件)が、トレンドマイクロのメール対策製品により検出されました。また、12月12日から18日までと、12月30日から1月5日までの期間において不審なURLの検出数が増加していることが確認されました。このようなデータからは、今後も郵便サービスを偽装するフィッシング攻撃が続くことが予想されます。
.jpg)
トレンドマイクロの2021年セキュリティ脅威予測では、サイバー犯罪者が新型コロナウイルス(COVID-19)に便乗した攻撃活動を2021年も継続すると予測しています。これはコロナ禍の影響によりオンラインショッピングの利用者やECサイト上での決済サービスの使用頻度が増加し電子商取引への依存度が高まったことに加え、金融支援の必要性が増大したことにも起因します。サイバー犯罪者はこれらの状況を利用してネット利用者を誘導し、重要情報などを詐取しようを試みます。認証情報やカード情報を詐取する新たな手口が日々生み出されている中で、古くから存在し巧妙化を続ける脅威もいまだに多く利用されています。本ブログ記事では、2020年12月下旬から2021年1月の第1週までに海外で観測されたいくつかのフィッシングキャンペーンの動向を解説します。
続きを読むトレンドマイクロは2020年5月以降、企業の経営幹部を標的とする高度化したフィッシングキャンペーンの追跡調査を行なっています。攻撃者はWebサイトを侵害してフィッシングサイトを構築し、日本、米国、英国、カナダ、オーストラリア、欧州諸国など様々な国の製造業、不動産業、金融機関、政府機関、技術産業内の組織を標的に攻撃を行なっています。弊社が調査を行った時点でこの攻撃に関連する300以上のフィッシングサイトのURLを確認し、さらに8つのフィッシングサイトからは約70の被害者のメールアドレスと盗まれたパスワード情報を発見しました。トレンドマイクロでは国際刑事警察機構(INTERPOL)に情報提供を行うと同時に、協力してさらなる調査を進めています。本記事では、本フィッシングキャンペーンの手口や背後に潜む攻撃者・開発者について調査した結果をご紹介します。
続きを読む2021年1月27日、EUROPOL(欧州刑事警察機構)は、「EMOTET」ボットネットのテイクダウンを発表しました。このテイクダウンはEUROPOLとEUROJUST(欧州司法機構)の調整の下、合わせて8カ国の法執行機関などが共同して行ったものと発表されています。2014年に登場した「EMOTET」は、現在までに日本を含め、世界的に大きな被害を与えてきたボットネットです。今回のテイクダウンは、法人個人を問わずすべてのインターネット利用者の安全に大きく寄与するものと言えます。
図:EMOTETを感染させる不正マクロを含んだWord文書の例(2020年12月確認) (さらに…)
続きを読むトレンドマイクロでは最近、サイバー犯罪集団「OceanLotus」に関連すると考えられる新しいバックドア型マルウェアを発見しました。今回新亜種に備わった追加機能の一部(トレンドマイクロでは「Backdoor.MacOS.OCEANLOTUS.F」として検出)には、新しい動作およびドメイン名が含まれています。本記事執筆時点では、本検体は他のマルウェア対策ソフトでは未検出となっています。
今回確認された検体は、動的な動作およびコードの類似性により、以前確認された検体の亜種であることが判明しました。
図1:以前確認されたOceanLotusの不正コード (さらに…)
続きを読む