2020年10月25日

新型コロナウィルスをテーマにしたマルウェア対策に乗り遅れないために

Since the outbreak of COVID-19, plenty of COVID-19 themed malware attacks have surfaced around the globe. Attackers take every chance they get to spre

新型コロナウィルスが発生して以来、 世界中で 新型コロナウィルス 新型コロナウィルステーマにしたマルウェアの攻撃 が数多く発生しています。攻撃者は、マルウェアを拡散するためにあらゆる機会を利用しますが、コロナ禍では彼らにより絶好の機会を与えています。

Deep Instinct 社のスレットインテリジェンス、テレメトリークラウド環境である D-Cloud のデータによると、攻撃の数は全体的に増加しています。特に、悪意のある実行ファイルや、前者の配信によく使われる Office 文書の数が増加しています。これは、コロナ禍のマルウェアの攻撃や悪意のある活動の増加と関連があると考えています。このデータは、他の地域で見られる傾向と一致しており、コロナ禍始まって以降、攻撃が増加していることを示しています。例えば、2020 年前半に確認された悪意のある Office 文書の量は、2019 年前半に確認された同種のファイルの量よりも 62% 多くなっています。この増加は、この種のファイルをよく使用する新型コロナウィルスフィッシング攻撃の波と相関しています。2019 年と 2020 年の同時期の比較では、悪意のある実行ファイルの数が 40% 増加しています。

図 1 :2019 年に入ってからの、月ごとの新しいマルウェアサンプルの数。グラフでは、Microsoft Office 文書を、古い形式である OL Eと、新しい形式である OOXML に分けています。数字は任意の単位で示されており、2019 年 1 月の悪意のある OOXML ファイルの数を 1 としています。

コロナ禍当初、攻撃者はフィッシング キャンペーンや不正なスパム攻撃に力を注ぎ、時には 世界保健機関(WHO)などの正当な情報源を装いました。また、比較的安全だった企業のネットワークから、安全性の低い場所からアクセスできるようになったリモートワークを悪用する者もいました。同様に、今までは非公開で行われていた会議が、脆弱な仮想通信アプリを使って行われるようになりました。

善良な人々を標的に

コロナ禍の戦いで最前線に立つ組織は、この困難な時期にマルウェアに狙われるようなことを考えたくはないのは当然ですが、残念ながらそうもいきません。

新型コロナウィルスが発生して以来、医療機関とその従業員は例年以上に標的にされており、WHO を狙った標的型サイバー攻撃は、昨年の 2 倍以上に増加しています。スパムやフィッシングのキャンペーンが展開され、中には個人や企業のメールアドレスを介して WHO のトップ職員を特に狙ったものもありました。また、医療従事者向けの偽のログインサイトも作成され、その中には世界保健機関の永遠のメールシステムを模倣したものもありました。

一部の脅威アクターは、パンデミック時に医療機関を標的にしないと当初表明していましたが 、全ての脅威アクターがその約束を守った訳ではありません。例えば、悪名高いランサムウェア「Maze」を開発したグループは、2020 年 3 月に「コロナ禍では医療施設や研究所への感染を避ける」という声明を発表しました。しかし、そのわずか数日後、彼らはロンドンにあるワクチンを開発している研究所「Hammersmith Medicines Research」から 盗んだデータを公開しました。それだけではなく、Maze はさらに多くの医療機関に感染し、業務を妨害するだけでなく、身代金を支払わなければ患者の情報をオンラインで公開すると脅しました。脅迫を受ければ、感染した医療機関は高額な GDPR 訴訟にさらされることになります。

Come and Knock on Our Door

企業が従業員に、安全性の高いオフィスから、安全性の低い自宅での仕事を推奨したことで、ハッカーの仕事は格段に楽になりました。企業のセキュリティ ソリューションを通過するようなマルウェア・サンプルを作るために努力する必要はもはやなく、無防備な従業員に悪意のあるメールの添付ファイルを開かせたり、インターネットからマルウェアをダウンロードさせたりするだけでよいのです。在宅勤務への移行によって深刻な影響を受けた組織の例として、フォーチュン 500 社に選ばれている コグニザント社が挙げられます。同社がリモートワーク環境に慣れてきた頃、ランサムウェア「Maze」による攻撃を受けました。復旧・修復にかかった費用は莫大で、5,000 万ドルから 7,000 万ドルと見積もられています。

多くの人が仕事とプライベートで同じPCを使用し、時には家族間でも同じデバイスを共有しているという事実は、さらに多くの悪意のあるサンプルに門戸を開くことになります。

さらに、ゲームに力を入れようと考えたマルウェア開発者は、より多くの人に攻撃するために、コロナ禍に利用が増えたアプリやサービスに悪用できる脆弱性を探し始めました。その一例が「Zoom」です。Zoom は人気が爆発した後、相次いでセキュリティ問題に見舞われました。その一つが、 4 月に発生したデータ流出事件で、50 万件以上の Zoom の認証情報が流出し、脆弱なエンドポイントで任意のコードが実行される脆弱性が発見されました。

偽のAndroidアプリ

多くの組織や政府が、新型コロナウィルスに関する最新情報をユーザーに提供するアプリケーションを立ち上げました。これを機に、サイバー犯罪者たちは、このアプリケーションの急増を利用して、有用性が低く、有害性の高い独自のバージョンを立ち上げました。よくあるのは「新型コロナウィルス トラッカー」と呼ばれるアプリで、感染者の過去の経路や現在地などの情報を提供するものです。

コロナ禍では、バンキングトロイの木馬「Ginp」がトラッカーを装った Android アプリを起動し、ユーザーが現在いる地域の(偽)の感染者数を表示しました。このソフトウェアは、0.75 ユーロで感染者の詳細情報を提供できると宣伝していました。ユーザーが登録すると、クレジットカード情報の入力が求められます。もちろんその情報は Ginp によって盗まれ、カードに課金されたことも、求められた情報を提供されることはありませんでした。

トラッカーのテーマを悪用したもう一つのマルウェアが CryCryptor です。2020 年 6 月 18 日、 カナダ政府 は、新型コロナウィルスの詳細を提供する追跡アプリの開発を支援すると発表しました。そのわずか数日後、CryCryptor は、そのアプリのふりをしたランサムウェアを起動しました。この偽アプリへのリンクは、攻撃者が作成したコロナウイルスをテーマにした 2 つのウェブサイトで見つけることができました。  この悪意のあるソフトウェアがダウンロードされると、感染したデバイス上のファイルにアクセスする許可を求め、許可が得られると、その許可を利用して写真やビデオなどの標的となるファイルを暗号化し、感染した各フォルダに身代金のメモを残しました。

今後起こりうること

サイバー犯罪者たちは、自分たちの目的を達成するために何が効果的かを考えます。そこで、新型コロナウィルスの動向に合わせて、新たなマルウェアキャンペーンが展開されることが予想されます。新型コロナウィルス関連の規制は、感染拡大の状況に合わせて随時各国政府が調整をしているため、人々は最新の情報を得るのに苦労しています。攻撃者はこの機会を捉えて、新型コロナウィルスの規制に関連した不正なスパムキャンペーンを行い、「最新の情報」を掲載した悪質な Web サイトや、おそらく「最新の規制」に関する偽アプリを投入するかもしれません。また、ワクチンについての関心が集まっていることを利用して、ワクチンに関する新しい情報があるように装い、悪意のある添付ファイルを付けたフィッシングメッセージを送信するという方法も考えられます。

また、新学期を迎えることで、マルウェア作者、特に最終的なペイロードとしてランサムウェアを好むマルウェア作者の注目を集める可能性もあります。多くの組織がそうであるように、学校や学術機関も状況に合わせて運営方法を変更しなければならず、多くがオンライン授業に切り替えています。つまり、ランサムウェアが生徒の自宅の PC から学校のネットワークに侵入したり、より標的を絞った攻撃を受けたりすると、学校が麻痺してしまうのです。昔ながらの紙とペンに頼ることができなければ、感染した学区や大学は簡単に屈服し、身代金の支払いを余儀なくされるかもしれません。

新型コロナウィルスによる今後大きな変化としては、多くの企業でリモートワークへの移行が考えられます。コロナ禍で、企業はリモートワークに利点があることに気づきました。多くの従業員が、自宅では集中力が高まると報告し、中には労働時間が増える人もいましたし、企業は設備にかかる費用を大幅に節約できることがわかりました。多くの企業が半永久的にリモートワークを導入した場合、ハッカーはこの状況を利用して、遠隔勤務の攻撃対象範囲の拡大を利用した攻撃を仕掛けたり、遠隔勤務を可能にするソフトウェアにさらなる脆弱性を発見したりする可能性があります。

当然のことながら、リモートワーク環境を選択した企業は、直面する他のリスクに加えて、セキュリティに関するリスクの増加を考慮する必要があります。さらに、企業は、エンドポイント セキュリティ ソリューションや適切なセキュリティ トレーニングなどの適切なツールを従業員に提供する必要があります。

新型コロナウィルスや選挙など、大きなイベントや状況の変化は攻撃者に多くのチャンスを与えます。我々は次のマルウェア感染がワンクリックで発生する可能性があることを常に念頭に置き、攻撃者がどのように行動するかに関わらず、これまで以上に警戒する必要があります。