トレンドマイクロは、「新型コロナウイルスに対する減税措置」というファイル名(「Company PLP_Tax relief due to Covid-19 outbreak CI+PL.jar」)を持つJavaダウンローダについて着目しました。このマルウェアは「MalwareHunterTeam」によるTwitterの投稿で報告されたものであり、ファイルを実行すると、JavaScript実行環境であるNode.jsで書かれた、未検出の新しいトロイの木馬型マルウェアをダウンロードします。トレンドマイクロではこのマルウェアを「QNodeService」と名付け、検出対応しました。QNodeServiceには、ファイルのダウンロード、アップロードおよび実行、ChromeあるいはFirefoxブラウザからの認証情報の窃取、ファイルの管理などを実行する機能を備えています。Windowsを攻撃対象としていますが、マルウェアの設計および特定のコードからは、将来的にはOSを問わず攻撃できる、クロスプラットフォームを意図して作成された可能性がうかがえます。 (さらに…)
続きを読む新型コロナウイルス(COVID-19)のパンデミックは、様々な形で人々の実生活に大きく影響しています。そしてサイバー犯罪者にとってCOVID-19は、利用者の関心を惹くために最も便乗しやすいトピックとなっています。今回、世界的に蔓延するCOVID-19便乗脅威について、国際刑事警察機構(インターポール)が企業や在宅勤務者をCOVID-19に便乗するサイバー犯罪の脅威から守るための新たな啓発キャンペーン(英語ページ)を行います。トレンドマイクロはこれまでも本ブログ記事などでCOVID-19関連の話題に便乗するサイバー犯罪の事例について注意喚起してまいりましたが、今回のインターポールの活動に対してもパートナーとして協働いたします。この過去数か月で得られた大きな気づきは、パートナーシップは危機のときこそ重要であるという点です。私たちは協働で取り組むことで、より優れたものを生み出し、より広い範囲に伝えていくことができます。サイバーセキュリティにおける官民連携も同様であり、トレンドマイクロでは、自社の専門知識を提供するため、産業界、学界、法執行機関と協力しています。
-2.png)
新型コロナウイルスの世界的流行によるテレワークの拡大に伴い、メッセージやビデオ会議などのアプリケーションソフトウェアやサービスに注目が集まる中で、例によって多くのサイバー犯罪者が人気のアプリケーションを偽装する手口を利用しています。トレンドマイクロは、2020年4月16日、「Viber」や「WhatsApp」、「Zoom」など人気サービスの偽インストーラを頒布する攻撃について報告しました。また、それより前の4月3日にも、Zoomインストーラを利用してコインマイナーを拡散する攻撃を確認しています。そして今度は、遠隔操作のために「RevCode WebMonitor」と呼ばれる市販の「Remote Access Tool(RAT)」を悪用する、同様の手口を用いた攻撃を確認しました。
続きを読む※本記事は新型コロナウイルス(COVID-19)に便乗する脅威に関するまとめ記事です。
最終更新日:4月30日 当初公開日:4月9日
また、特に日本国内で確認された便乗脅威に関しては以下のis702の記事でも最新事例を更新しておりますので参照ください。
is702:【注意喚起】新型コロナウイルスに便乗したネット詐欺などにご注意ください
新型コロナウイルス(COVID-19)の世界的な流行に便乗したサイバー犯罪者の活動に関し、前回公開の4月9日以降に確認した最新情報について情報を更新いたしました。
続きを読むトレンドマイクロは2020年3月末、サイバー諜報活動と推測されるキャンペーンを確認し、「Project Spy(プロジェクトスパイ)」と名付けました。Project Spyは、Android端末の場合「AndroidOS_ProjectSpy.HRX」、 iOS端末であれば「IOS_ProjectSpy.A」として検出される情報窃取型不正アプリ(スパイウェア)を感染させます。Project Spyは新型コロナウイルスの世界的流行をおとりとして利用し、「Corona Updates」というアプリに偽装し不正アプリを配布していました。しかし調査をするうちに、それよりも以前に配布されていたGoogleサービスと音楽のアプリを偽装する初期バージョンも確認できました。なお、これらの不正アプリは、パキスタン、インド、アフガニスタン、バングラデシュ、イラン、サウジアラビア、オーストリア、ルーマニア、グレナダ、ロシアにおいてダウンロードされており、そのダウンロード数は比較的少数であったことも確認されています。 (さらに…)
続きを読む新型コロナウイルス(COVID-19)の世界的な流行は、在宅勤務者、つまりテレワーカーの急激な増加という状況を生み出しています。同時に、テレワークを支えるビデオ会議アプリにも注目が集まっており、中でも「Zoom」は利用者が2億人を突破するなど急激な普及が報じられています。このように大きな注目を浴びたソフトやサービスには、便乗した攻撃を狙うサイバー犯罪者の注目も集まるため、様々な角度からセキュリティリスクが増大する傾向が見られます。本記事では直近で明らかになったZoomのセキュリティリスクと共に、対策の心がけについてまとめます。
トレンドマイクロでは、ビデオ会議アプリ「Zoom」の正規インストーラとマルウェアをバンドルし、Zoomを利用したいユーザをだまして不正にコインマイナーをインストールさせようとするサイバー犯罪者の活動を確認しました。新型コロナウイルス(COVID-19)の蔓延に対する懸念が高まっている中、多くの企業が在宅勤務に移行しています。サイバー犯罪者はこのような最近の状況に乗じ、テレワークには欠かせないビデオ会議アプリに便乗してマルウェアを拡散させようとしているものと言えます。この脅威について、トレンドマイクロでは既にZoom社と連絡をとり、適切な対応についての協力を行っています。
サイバー犯罪者が話題のニュースをマルウェアスパムに利用することは常套手段となっています。彼らはソーシャルエンジニアリングの手法を用いて、現在多くの関心を引く話題、イベントや出来事、あるいは人物を利用し、タイムリーに攻撃します。その意味で、現在世界的な関心事となっている新型コロナウイルス感染症(COVID-19)に便乗する様々な攻撃が、世界中で確認されているのは、ある意味当然のことと言えます。国内では2月4日の本ブログ記事でもお伝えしたような不審メールが確認されていましたが、その後、新型コロナウイルス対策で品薄状態が続くマスク販売の偽サイトを確認しました。またトレンドマイクロのリサーチャーは、世界的にも新型コロナウイルスに便乗したマルウェアスパム、また「coronavirus」および「corona」という単語を利用したマルウェア名や不正なドメイン名の増加を確認しています。
サイバー犯罪者による攻撃メールでは、受信者を騙し、不正サイトへ誘導したり、添付ファイルを開かせたりしようとする手口が日常的に使用されています。中でも、その時々に注目を集めている話題に便乗する手口は、大きなイベントの開催や事件発生の度に見られる常套手段です。今、世界的に注目されている事件と言えば、中国の武漢で発生したとされる新型コロナウイルス(2019-nCoV)でしょう。その影響は中国とその周辺諸国から世界的に広がっており、世界保健機関WHOは「世界的な緊急事態」を宣言、日本の厚生労働省も公式勧告を出しています。サイバー犯罪者がこのように注目される話題に便乗することは、ある意味当然のことですが、トレンドマイクロでは実際に、この新型コロナウイルスの話題に便乗する手口を連続して確認しました。
図1:新型コロナウイルスに便乗するテキストメッセージの例
(2020年2月確認の内容から再構成)
