新型コロナウイルスに便乗? 関連のドメイン名登録が増加

新型コロナウイルスの被害は世界中で拡大していますが、新型コロナウイルスに便乗したサイバー攻撃、特にフィッシング詐欺が増えているのが現状です。

チェック・ポイント・ソフトウェア・テクノロジーズの調査によると、2020年1月以来、新型コロナウイルス(COVID-19)というキーワードに関連したドメイン名が全世界で16,000件以上登録されていることがわかりました。 その数は3月以降も増加を続けています。

  • 新型コロナウイルス関連のドメイン登録数の推移 資料:チェック・ポイント・ソフトウェア・テクノロジーズ

こうしたWebサイトは、例えば「coronavirus」といったドメイン名でコロナウイルスの情報提供やマスク・ワクチンの配布をするように見せかけて、実際にはIDとパスワード情報を盗みとったり、悪意あるソフトウェアをインストールさせたりといった悪意ある活動を行います。

チェック・ポイントでは、こうしたドメインのうち少なくとも5%は疑わしいもので、3%は悪意あるサイトであることが確認しました。 参考までに下記に悪意のあるドメインの例を紹介します。

coronaviruscovid19-information.com

・2020年3月11日に登録 ・Androidユーザに悪意のあるアプリをダウンロードするよう誘導 ・アプリはコロナウイルスに関する医療情報(検査、感染を避ける方法など)を提示すると思われるが、実際には、Cerberusマルウェア(Androidデバイス用の特定のバンキング画面オーバーレイ機能を備えたリモートアクセストロイの木馬(RAT)、SMSコントロール、キーロガー、オーディオ録音、位置情報の追跡などを装備)に関連するペイロードが含まれていたりする

coronavirusstatus.space/index.php

・2020年2月初旬に登録 ・AZORultマルウェアのC&Cサーバとして使用 ・AZORultは、感染システムでデータを収集し外部に送信するトロイの木馬である。保存されたパスワードやローカル・ファイル、仮想通貨のウォレット、コンピュータのプロファイル情報をリモートのC&Cサーバに送信する - コロナウイルス感染のライブマップに関心のあるユーザーがターゲット

Coronavirusapp.site

・2020年3月8日に登録 ・Androidユーザーに「Coronavirus Tracker」という名前の悪意のあるアプリをダウンロードするように促す ・ユーザーがアプリをインストールした場合、ユーザーのデバイスをロックする。「CovidLock」ランサムウェアに関連するペイロードが使用され、ロックを解除するにはBitcoinでの代金の支払いが必要となる

日本国内でもコロナウイルスに便乗した攻撃を確認

コロナウイルスに便乗した詐欺やサイバー攻撃は、日本国内でも報告されています。例えば、新型コロナウイルスに対する政府の対応に関連する情報を提供するかのように見せかけた、厚生労働省そっくりのWebサイトが登場し、3月10日に厚生労働省自ら注意を呼びかけました。アクセスすると、何らかの被害を受ける恐れがあります。

また、それに先立つ1月末の時点で、新型コロナウイルスに関する情報提供を装い、添付ファイルを開かせてマルウェアに感染させようとする攻撃メールが確認され、情報処理推進機構(IPA)が注意を呼びかけました。2019年末から国内で広がり始めた「Emotet」マルウェアで、ユーザを騙して感染させる新たな手段として使われているのです。そのほか、SMS経由でコロナウイルスに関するフィッシングメールをばら撒き、不正なアプリをインストールさせようとする手口も確認されています

  • 新型コロナウイルスを題材とした攻撃メールの例(2020年1月) 資料:IPA

今に限った話ではありませんが、五輪のような大型イベントや自然災害に便乗し、ユーザーを騙してIDとパスワードを盗み取る手口は後を絶ちません。 通常から、以下の点を徹底することが重要でしょう。

  • 見知らぬ送信者から受け取ったメールや添付ファイルには注意を払う
  • 何らかの物資を購入する際は、プロモーションメールのリンクをクリックせず、確かなソースから購入する

なお、現時点でコロナウイルスの特効薬は発見されていませんから、「コロナウイルス対策を今だけ特別に150ドルで提供します」といったメールは、ほぼ詐欺と考えて無視するのがいいでしょう。