コロナ禍、テレワーク拡大に便乗する最新の脅威の実態

前回は、次々と新たな手法が登場するかに見えるサイバー攻撃の背景には、「人間の心理を突いてだます」という、年月を経ても本質的に変わらない手口があることを紹介しました。今回は、新型コロナウイルス感染症（COVID-19）の発生を機にどのようなサイバー攻撃が増えているかを説明し、それらと過去の手口との共通点を探ります。

新型コロナウイルスを巡る話題に便乗するフィッシング

世界的な感染拡大の兆しを見せた2020年2月後半から半年ほどで、世の中はめまぐるしく変わりました。各国で感染者が急増し、日本でも緊急事態宣言が出されたものの、夏以降は徐々に落ち着きを見せつつありました。ですが、ここに来て再びヨーロッパ各国で感染増加傾向が見られるなど、予断を許さない状況です。

この間、メディアでは連日、COVID-19に関する情報が飛び交いました。また、多くの人が普段外出して購入していたものをオンラインショッピングサイトでの購入へ切りかえたり、感染拡大防止に効果的とされるマスクやうがい薬などの入手方法の把握のためにネット検索に多くの時間を費やしたりと、現実とリンクする形でサイバーの世界にもいつもと異なる動きがありました。

これに伴って、増加したサイバー犯罪のひとつがフィッシング詐欺です。

2月から3月にかけては、「COVID-19の最新情報です」といった具合に公的機関・医療機関を装ったり、医薬品・衛生用品の販売をかたったりして、人々をだますフィッシングメールやフィッシングサイトが増加しました。

また、以前から存在したECサイトやさまざまなWebサービスを装ったフィッシング詐欺も衰えを見せません。むしろ、オンライン通販の利用増加を踏まえてか、宅配便の不在通知を装った偽メッセージが横行し、たびたび注意が呼びかけられています。また、経済的な支援策が始まると、すかさずCOVID-19関連の給付金や助成金をかたったフィッシングメールも登場し、関係機関が注意を呼びかけるに至りました。

• 特別定額給付金に関する通知を装うフィッシングメールの例　資料：フィッシング対策協議会

人気のソーシャルメディアを偽るフィッシングも増加

もう1つ注目したい動きがソーシャルメディアの悪用です。現実世界でのコミュニケーションが困難になった代わりとして、「Facebook」や「WhatsApp」といったソーシャルメディアを介したコミュニケーションが活発化しました。サイバー犯罪者はそこに目を付けたようです。

私たちVade Secureの調査によると、2020年3月から5月の3カ月にわたり、人気のあるソーシャルメディアをかたったフィッシングが増加していました。特に変化を見せたのがメッセージアプリの「WhatsApp」です。ロックダウンを機にWhatsAppの利用者は世界中で40％増加したと言われており、それに比例するかのように、WhatsAppをかたったフィッシングサイト（URL）数が2019年1月から2020年3月までの3カ月間と比べて185％増加したことが確認されました。

このように、フィッシング詐欺の手口はバリエーションに富んでいます。ただ1つ変わらないのは、「人々が注目する話題を悪用する」というサイバー犯罪者の狙いです。

古くは2005年、アメリカでハリケーン「カトリーナ」が大きな被害をもたらした際、被災者への寄付を名目にしたフィッシングメールが急増しました。その後も、天災や世界的に有名な芸能人の動向をある種の「エサ」にしてユーザーの感情を揺さぶり、本文中のリンクをクリックさせて詐欺サイトに誘導したり、添付ファイルを開かせようとしたりする詐欺は後を絶ちません。COVID-19以降のフィッシングメールの急増は、その最新の例と言えるでしょう。

私たち人間が何らかのつながりやコミュニケーションなしには生きていけない以上、残念ながらこの先も、フィッシング詐欺がなくなることはないでしょう。おそらくこの先も、世の中の動きに応じて最新のトピックを取り入れながら、例えば、「新規のワクチン開発」などを口実にしてユーザーをだますフィッシング詐欺が登場することは十分に考えられます。

リモートワークでイレギュラーな処理が増えるからこそ、BECに注意

COVID-19の前後で大きく変わったものといえば、働き方もその1つです。以前は「例外的に許可する」という位置づけだったリモートワークが、多くの企業で採用されました。緊急事態宣言の解除後は徐々に元に戻している企業もあるようですが、一方で「今後もリモートワークを前提とする」と宣言する企業も登場しています。

リモートワークには、通勤の手間がなくなり、ワークライフバランスの改善につながるなど利点もありますが、PCなどエンドポイントのセキュリティ対策強化など、セキュリティ上留意しなければいけない事柄が多々あるのも事実です。

皆がオフィスにいる環境ならば、不審なメールが届いたり、「何だか変だな」と思ったりした時はすぐに、周りの同僚や情報システム部に確認できますが、リモートではそれがままなりません。不審なメールへの備えといざという時に備えたリモートでのインシデント対応手順がより重要になってきます。

特に、リモートワークだからこそ注意を払いたいサイバー犯罪のひとつが、「BEC」（ビジネスメール詐欺）と呼ばれる手口です。

BECは以前から存在していた詐欺で、例えば企業内の経理担当者などにターゲットを絞り、取引先企業の名前を装って「来月から、弊社への振り込み先はこちらにお願いします」と依頼したり、経営者の名前で「秘密裏に進めている新規事業への投資のため、この口座に至急この額を振り込んで欲しい」といったメールを送りつけて金銭をだまし取ったりします。フィッシング詐欺と振り込め詐欺を組み合わせたような手口と言え、被害額が多額に上ることも特徴です。

過去には、国内でも大手航空会社が億単位の被害に遭った事例があります。また、最近では日本の大手メディアの米国支社でBECによる被害が発生し、2900万ドルもの被害が生じたこともあります（Vade Secureブログ：ビジネスメール詐欺：新たなターゲットを見つけた昔ながらの脅威）。

そして残念ながら、COVID-19の登場とリモートワークの広がりが、BECの実行を容易にさせている側面があるのです。

COVID-19はさまざまな「予定外」の事態をもたらしました。最近報告されているBECは、そのどさくさに紛れて、「コロナウイルスの影響で出社できないため、通常とは異なる方法で支払いをしてほしい」と詐欺メールを送りつけるのです。中には本当に、出社が困難で請求処理に不都合を来したケースもあるため、なかなか見抜くのは困難でしょう。皆が出社を控えているため、担当者が顔を合わせて確認したり、相手のオフィスに電話をしたりして確認することも難しい――そんな状況を実に巧妙に悪用しているのです。

情報処理推進機構（IPA）にも、国内でBECの被害報告が増えており、COVID-19を口実にした詐欺メールが確認されたとし、注意を呼びかけています（https://www.ipa.go.jp/security/announce/2020-bec.html）。

• 新型コロナウイルス感染症に言及するビジネスメール詐欺のメールの例　資料：情報処理推進機構

BECも前述のフィッシング詐欺も、「これさえやっておけば大丈夫」という対策がないのが実情です。もちろん、ほいほいとメールを開封してクリックしないよう、ユーザー自身が注意を払うことも大切ですが、相手はそれをあの手この手でかいくぐろうとするわけですから、ユーザーのリテラシーだけにあぐらをかくわけにはいきません。

しかも、詐欺に使われるメールの文面はどんどん巧妙かつ本物そっくりになっています。時には実際にやりとりされるメールがコピーして使い回されることもあるため、単純なメールフィルタリングならば容易にすり抜けてしまうでしょう。となれば、より高度なセキュリティソリューションを検討するとともに、万一それがすり抜けられた時に備えて、事前に対応手順を整備しておくことを怠らないことが重要です。

事前の整備という点では、Vade Secureをはじめとするセキュリティベンダー各社が提供するフィッシング攻撃を模擬トレーニングできるツールやサービスを利用するというのも、フィッシングメールに対する社員の対応力のレベルアップに有効でしょう。

またBECについては、リモートワークという普段とは違う環境において、チェックに抜け漏れが生じる恐れがないか、ワークフローを再度確認する必要もあるでしょう。とはいえ、このいたちごっこはまだまだ続きそうです。