著者:カウンター・スレット・ユニット リサーチチーム

未曾有のCOVID-19によるパンデミックは、世界中の組織や人々に課題をもたらしています。多くの組織では、可能な限り従業員のテレワークを導入しています。この移行により、従業員のデータアクセス方法や、同僚・お客様とのコミュニケーション方法に変化がもたらされました。これにより、金銭目的や機密情報の窃取を目論む攻撃者にとって、絶好の機会を生み出すことになりました。

Secureworks®のカウンター・スレット・ユニット(Counter Threat Unit™ (以下、CTU))のリサーチャーは、お客様のテレメトリーや他のリサーチ機関の報告から、新型コロナウイルスをテーマにした複数の攻撃キャンペーンを追跡しています。本ブログ記事が公開される時点では、2020年初頭は、マネージド・セキュリティ全体で顕著な検知の増加は見られませんでした。しかし、すでにサイバー攻撃者や政府が支援するような攻撃者グループが、COVID-19に対するユーザーの興味を悪用して、被害者に悪意あるリンクや添付ファイルを開くように誘導しているのは明らかです。CTUのリサーチャーは、新型コロナウイルスをテーマにしたOffice文書を武器化する政府支援のハッカーや、パンデミックの被害が深刻な地域の重要なインフラや組織を標的とする巧妙な攻撃者の存在を確認しました。

パンデミックへの国際的な対応は、一部の国にとっては諜報活動の対象となるでしょう。他の国や国際機関が公式声明の裏で、実際に何をやろうとしているのか、言おうとしているのか、何を考えているのか、その真意を探っています。これにより、一部の諜報機関とそれに関連するサイバースパイ活動には、標的とする対象に変化が生じています。たとえば、イラン政府が支援する攻撃者は、世界保健機関(WHO)への侵入を試みたと 伝えられています。

一方で、従来のサイバースパイ活動も継続しています。政府が支援する攻撃者が、COVID-19に関連する情報を標的型攻撃に利用した例は多数存在します。

  • 2月から3月にかけて台湾語、ベトナム語、英語による新型コロナウイルスをテーマにしたWord文書ファイルは、BRONZE PRESIDENT(別名:Mustang Panda)によるものでした。
  • CTUのリサーチャーは2月、中国に拠点があるとされる攻撃者に関連する悪意のあるRTF文書ファイルを分析しました。世界中のCOVID-19の状況(図1を参照)に関するモンゴル保健省からのアップデートと題した文書ファイルを実行すると、遠隔操作マルウェアであるPoisonIvyがドロップされました。
図1:中国に拠点があるとされる攻撃者に関連する悪意あるRTF文書(出典:Secureworks)

図1:中国に拠点があるとされる攻撃者に関連する悪意あるRTF文書(出典:Secureworks)

  • パキスタンに拠点を置く攻撃者グループCOPPER FIELDSTONE(別名:APT36)は、インド政府を装った文書ファイルで新型コロナウイルスのパンデミックを利用したと報告されました。この文書ファイルを実行すると、COPPER FIELDSTONEの利用が確認されているCrimsonRATマルウェアがドロップされました。
  • 3月、「COVID-19 and North Korea.docx」という名前の文書ファイルがマルウェア分析サービスVirusTotalにアップロードされ、北朝鮮の攻撃者グループNICKEL KIMBALL(別名:Kimsuky)に関連付けられているコマンドアンドコントロール(C2)サーバーへの接続が確認されました。
  • 4月3日、リサーチャーは、攻撃者グループTILDEN(別名:Gamaredon)と関連のあるC2ドメインを利用したCOVID-19をテーマとする悪意のある文書ファイルに注目しました。CTUのリサーチャーは、TILDENがロシアの諜報機関と関連している可能性があると評価しています。

潤沢な資源を持つサイバースパイグループは、新たな機会を獲得するために、その標的をすばやく変化させます。COVID-19に対する一般の関心が高まるにともない、このテーマを使用したスピアフィッシング攻撃の成功率が上がることが想定されます。さらに従業員が在宅勤務に移行して、リモートアクセスおよびリモート会議ソリューションの普及が進む一方で、攻撃者グループが標的を探る頻度が増えると想定されます。

敵対的な外国の諜報機関がすべての組織に影響を及ぼすとは限らないものの、金銭窃取を目的とするサイバー攻撃者によってもたらされるリスクを考慮する必要があります。これらのグループは、COVID-19パンデミックにいち早く目を付けて攻撃に悪用しています。

  • イタリア政府は3月8日、ロンバルディア州とその他の影響を受ける14の州を 封鎖し、さらに感染の増加にともない3月10日に 国全体のロックダウン を実施しました。3月2日から3日にかけて、イタリアが新型コロナウイルスの感染拡大を阻止するという課題に直面していることが明らかになると、複数のイタリア語による大規模なスパムキャンペーンがTrickBotマルウェアの配布を開始しました。3月13日、CTUのリサーチャーは、TrickBotのWebインジェクションの設定にイタリアの銀行が追加されたことを観測しました。このタイミングは偶然なのかもしれませんが、GOLD BLACKBURNは社会的孤立がオンラインバンキングへの依存度の増加につながる可能性があると認識していたと考えられます。
  • 2月下旬、イタリアの製造会社の名前が明記された REvil ランサムウェアが登場しました。すでに経済的見通しが非常に困難であり、恐喝に対して過敏に反応しやすいと思われる組織に対して、複数のREVilに関連する攻撃者が、意図的に標的にしていると考えられます。
  • 正規の新型コロナウイルス追跡マップに 偽装した情報窃取型マルウェアAZORultが 、アンダーグラウンドフォーラムで販売されていました。

情報窃取型マルウェアAZORultが 、アンダーグラウンドフォーラムで販売

  • 情報窃取機能を持つLokibotは、世界保健機関(WHO)をテーマにした不正な文書ファイルによってドロップされました。
  • 3月に送信されたCOVID-19に関連する詐欺を回避するためのヒントと題したフィッシングメールからは、COZI ISFB(別名:Ursnif)バンキング型トロイの木馬が 配信 されました。
  • 攻撃者はLinksys社製ルーターに対してブルートフォース攻撃を 行い 、 ルーターのDNSレコードを書き換えることで、ネットワークトラフィックを新型コロナウイルスをテーマにした悪意あるWebサイトへリダイレクトして、情報窃取型マルウェアであるOskiを配信しました。
  • 新型コロナウイルスを追跡する機能を持つ corona live 1.1 という正規のアプリが改ざんされ、一見アプリの動作をしてるものの、裏では商用スパイウェアであるSpyMax仕込まれ、リビアを標的とする攻撃キャンペーンで使用されていました。

世界中に影響を及ぼすパンデミックが、これらの犯罪者グループの根本的な動機や目的に変化を及ぼすわけではありません。しかし不安や恐れ、先行きが見えない不透明感、そして最新の情報への渇望が、潜在的な犠牲者の数と、攻撃の成功率を引き上げることになります。

一部の攻撃者は、医療機関に対するこのような攻撃を、一部猶予するとしています。MAZEランサムウェアを運営するGOLD VILLAGEは3月18日、今後は医療機関を標的にしないことを表明しました。しかしその後、攻撃者は侵害された医療組織を発表しました。3月24日以降、Clopランサムウェアを運営する攻撃者グループGOLD TAHOEは、医療機関を標的にしないことを公式のサイトに発表しました。攻撃者グループにも道徳心があるかどうかを判断するのはおそらく時期尚早でしょう。

最も注目を集めている攻撃活動には、なりすましドメイン、リモート会議サービスを標的とした妨害行為、およびその他の詐欺が含まれます。このブログ記事で前述した脅威とは異なり、これらのインシデントにおけるセキュリティチームの課題は、ノイズの中で悪意のあるアクティビティを特定することです。

  • covid、corona、chineseflu、wuhanなどの単語を含む新型コロナウイルスをテーマにしたドメインは、1月1日から4月1日の間に9万件以上作成されました。これらのドメインの大多数は、現在発生しているサイバー犯罪や標的型攻撃と関連していないものの、関連のあるドメインも間違いなく存在しています。
  • 攻撃者は、リモート会議利用の増加を悪用して、正規のアプリケーションに 偽装 したマルウェアを配信すると共に、Zoom、Microsoft Teams、Google Hangoutなどのプラットフォームを模倣した悪意のあるドメインを現在も作成しています。
  • 米国連邦捜査局(FBI)は、リモート会議サービスの乗っ取り(別名:Zoom爆撃)について 警告し、米国の2つの学校で事件が発生したと指摘しました。リモート会議サービスを標的とするアクティビティの大多数はこの機に便乗したものであり、荒らしを目的としていますが、巧妙な攻撃者はこれらのプラットフォームの脆弱性や設定の不備などを見つけて悪用すると考えられます。
  • 攻撃者は、4,000米ドルの支払いに応じない場合、被害者の家族に新型コロナウイルスを感染させると脅迫するセクストーションメールを作成しました。これらの脅威は現実的ではないものの、受信者を不安をあおるには十分でしょう。
  • FBIは、消費者向け製品の卸売業者であるコストコからのメッセージのように偽装したSMSフィッシング(スミッシング) キャンペーンを確認しました。このメッセージはアンケートに回答すれば賞金が得られると謳っていますが、アンケートは悪意あるWebサイトにホスティングされています。
  • 政府による補助金の呼び掛けが、Facebook Messengerを通じて宣伝されました。これらの詐欺では、受信者が決して受け取ることのない「補助金」の小切手の送料として20ドルを支払うように指示を促しました。

CTUのリサーチャーは、組織が新型コロナウイルスをテーマにした脅威に対して次の緩和策を実施することを推奨しています。下記のセキュリティ対策の多くは、他の脅威からも組織を保護します。

  • フィッシングやその他の詐欺を認識して報告できるように、従業員への教育と注意喚起の実施を推奨します。これらの攻撃の試みは、メール、電話、ソーシャルメディア、SMS(テキストメッセージ)、またはその他のメッセージングアプリケーションを介して行われます。
  • 脆弱性スキャンを定期的に実施し、特にインターネットに接続されたインフラストラクチャに対して実施することを推奨します。また、デバイスとアプリケーションが一元管理されており、正常なメディアからインストールされ、定期的にパッチが適用されていることを確認してください。
  • 可能な場合は、多要素認証を利用することを推奨します。複数の認証要素を必要とすることにより、攻撃者が窃取した認証情報を利用してアクセスすることを困難にできます。
  • エンドポイントとネットワークの監視を導入して、悪意のあるアクティビティを検知することを推奨します。PowerShell、WMI、WScript、異常なネットワーク通信など、挙動が疑わしい不審なファイルを検知して調査します。
  • 可能であれば、仮想プライベートネットワーク(VPN)やDNSサーバーなどの企業リソースに接続してからインターネットにアクセスするようにユーザーへ指示することを推奨します。このアプローチは、仮にユーザーのエンドポイントが侵害された場合でも、別の監視方法を確保できます。
  • リモート会議ツールとベンダーを選択する際には、組織のセキュリティ要件を考慮して、会話とデータを適切なレベルで保護できるように確認することを推奨します。
  • リモート会議サービスの適切な使用に関する従業員への教育を行うことを推奨します。パスコードまたはその他の認証機能を使用し、可能な場合はミーティングIDの公開を控えてください。
  • インシデント対応計画をレビューして、変更された作業環境でも引き続き適応可能であるか確認することを推奨します。また、組織に負荷をかけることなく、これらの計画をテストする方法を検討してください。

包括的なサービスを提供可能な脅威インテリジェンスプロバイダー、またはそれに比類するサービスを提供するプロバイダーを利用することを推奨します。これらは、組織が直面する恐れのある脅威を洗い出すことで、内部のセキュリティチームが誤った手掛かりを追うことにより消耗する時間を削減します。

[PR]提供:セキュアワークス