釣り餌に使われるCOVID-19の状況

企業を狙うサイバー攻撃で、新型コロナウイルスに対する不安がどのように悪用されているか。実例を示しながら解説します。

業務上のメールを装って悪意ある添付ファイルを送りつける手口は、以前から見られています。当社では少なくとも3年前から、迷惑メールの中にこの手のものを観測しています。偽装が巧妙であるほど、受け取った人が疑いを持たない可能性は上がります。

このようなフィッシングが特に危険なのは、配送依頼や発注のメールを日常的に受け取っている物品販売会社の場合です。偽のメールを見分けるトレーニングを受けた人であっても、受け取ったメールがフィッシングメールなのか本当に顧客から来た発注メールなのか、見分けるのに苦労する場合があるものです。そのため、本物らしく見える偽メールの数は増え続けています。昔からある悪質なスパムメールとは違って遭遇する頻度が低いのは、特定の目的で作られて標的を定めて送られるためです。

サイバー犯罪者はここ数週間、新型コロナウイルス感染症(COVID-19)の拡大に便乗して、自分たちのメールの文面に信憑性を加えようしています。よく見られるのは、新型コロナウイルス関連で生じた納入の問題について言及されていて、メールを受け取った人が「どの納入の件だろう」と思うように仕向ける内容です。あるいは、COVID-19の世界的大流行が理由でいつもの取引先が予定どおりに物品を納入できない、と言って緊急の対応を要請する内容の場合もあります。どちらもメールの受信者に悪意ある添付ファイルを開かせるのが目的であり、出荷の詳細(または支払い情報、注文内容、商品の在庫状況など)を確認してほしい、というよくある口実を使っています。

この記事では、このタイプのフィッシングメールのタイプとリスクについて、具体的例を引きながら見ていきます。

納入の遅れ

このメールは、新型コロナウイルスの影響で物品の納入が延期になったことを知らせる内容です。「変更後の納期に関する情報と新しい説明書」と称するファイルが添付されており、しかも、納期に問題がないかどうかを尋ねることで、受信者に添付ファイルを開かせようとしています。添付ファイルは、一見したところPDF形式の請求書のように見えます。

———-

(抄訳)

件名:Re: コロナウイルスによる出荷キャンセルおよび新規出荷スケジュールについて

fp86255298様

以下の発注につき来週の出荷を予定しておりましたが、コロナウイルスの影響により延期することとなりました。新しい出荷の情報および出荷に関する説明書について添付ファイルをご確認の上、このまま進めてよいかどうかお知らせいただけますでしょうか。

この出荷時間で問題のないようでしたら、進めさせていただきます。

よろしくお願いいたします。

S. コダイラ

———-

ところがそのファイルの中身は請求書ではなく、悪意あるスクリプトを実行するNSISインストーラーです。実行されたスクリプトは標準のcmd.exeプロセスを起動し、ここから悪意あるコードを実行します。コードはこのようにして正当なプロセスの中で実行され、標準的な防御メカニズムを回避します。最終の目的は、その人の行動を追跡することです。当社のセキュリティ製品では、この脅威を「Trojan-Spy.Win32.Noon.gen」として検知およびブロックします。

至急の発注

このメールは、新型コロナウイルスの感染拡大により中国のサプライヤーが間に合わなくなったと主張しており、現在の状況からすれば確かにもっともらしい話に思われます。顧客の期待に応えるため、何らかの物品(本文中では明記していない)を、メール受信者の会社に至急発注したいと述べています。会社としては、思いもよらぬ受注のチャンスを逃したくないという気持ちが起きるかもしれません。

———-

(抄訳)

件名:緊急発注

ご担当者様

コロナウイルスの流行により私どもの中国内の会社からの供給が影響を受けており、当地での市場の需要を満たすことができなくなる恐れがございます。

したがいまして、私どもの緊急発注をご覧いただき、最低価格での見積書を発行いただきたく思います。

本件は緊急のため、配送予定につきましては記載のとおりでお願いします。

よろしくお願いいたします。

ジェシカ | 営業部

———-

しかし、添付ファイルの中身はそのような注文ではなく、Backdoor.MSIL.NanoBot.baxoというマルウェアです。このファイルは、起動すると、正当なRegAsm.exeのプロセスの中で悪意あるコードが実行されます(これも、防御メカニズムを回避するための動きです)。結果として、この人のコンピューターへ、攻撃者がリモートアクセスできるようになります。

至急の発注:別のパターン

このメールは、上記のメールのバリエーションです。こちらも、架空の中国のサプライヤーにて発送の問題が生じているとして、添付のDOCファイルに列挙されている商品について価格と納期を問い合わせる文面です。

———-

(抄訳)

件名:緊急発注

こんにちは。

XXX社のガリヤと申します。中国のサプライヤーによる供給が現地でのコロナウイルス流行の影響により遅れているため、添付の内容に関して最低価格および最短納入日をお知らせいただけませんでしょうか。

急ぎ、ご対応ください。

よろしくお願いいたします。

ガリヤ
購買部門

———-

DOCファイルが使われているのには理由があります。ファイルにはMicrosoft Wordの脆弱性「CVE-2017-11882」を標的としたエクスプロイトが含まれており(当社製品ではこれをExploit.MSOffice.Genericとして検知します)、ファイルを開くとBackdoor.MSIL.Androm.genがダウンロードされて実行されます。目的は、感染先のシステムに対するリモートアクセス権を取得することです。

一刻を争う事態

最後に紹介するのは、新型コロナウイルスの世界的流行によって業務の一時停止が生じている企業(多数であり、増加中でもある)を標的にした手口です。コロナウイルスによる混乱からの業務再開を願っていると言いながら、相手に行動を迫る内容です。

———-

(抄訳)

件名:至急見積もりのお願い

お客様

最近のコロナウイルスの大流行の後、御社が業務を再開されておりますことを願っております。

添付のPOにあります製品を、至急必要としております。

また、支払い条件、納入、およびAWBについてもご確認いただく必要がございます。

よろしくお願いいたします。

ケニー
本部長

———-

この添付ファイルは発注書ではなく、Trojan.Win32.Vebzenpak.ernというマルウェアを含むファイルです。起動すると、正当なRegAsm.exeプロセスの中で悪意あるコードが実行されます。やはり目的は、感染したマシンへのリモートアクセス権を攻撃者に与えることです。

悪意ある添付ファイルへの対策

添付ファイルの形でトロイの木馬やバックドアを仕込まれないためには、以下の対策を推奨いたします。

  • 添付ファイルの拡張子を注意して確認する。実行ファイルの拡張子であれば、ほぼ間違いなく危険なファイルだと考えてよいでしょう。
  • 送信元の会社が実在するかどうかをチェックする。今どきは、小さな会社であってもオンラインで(たとえばSNSのアカウントで)情報発信をしているものです。何も見つからない場合は応じないようにしましょう。いずれにしても、取引に値する会社ではないかもしれません。
  • 送信者欄と自動署名の内容が合っているかをチェックする。送信者名とメール本文末尾の署名で名前が違っているメールもよくあります。
  • サイバー犯罪者が名乗る「会社」の情報は、誰でも見られる情報源から流用されている可能性があることを念頭に置いておく。メールに正当な情報が含まれているように見えても何かしら怪しく感じられるときは、送信元となっている会社に問い合わせて(メールに返信はしない)、確かにその会社が送ったメールであることを確認しましょう。
  • 自社のワークステーションとメールサーバーの両方に、信頼できるセキュリティ製品を導入する。セキュリティ製品は定期的に更新し、最新のデータベースが使用されるようにしましょう。そうでないと、特にOffice文書の場合、メールの添付ファイルが有害なのかどうかを判定するのが難しくなる可能性があります
ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?