スパム
需要が急増したことで、配達にかかる時間が長くなりました。配送業者から最新の配送状況を知らせるメールが届くのに、人々は慣れつつあります。こうした中、当社では、新型コロナウイルスの話題を悪用し、配送業者のものに見せかけた偽サイトや偽メールを多数確認しています。詐欺を働く人々は、メール送信者フィールドの偽装、実在する企業のメールの体裁の模倣、実在企業のWebサイト要素の丸コピーなど、有効性が確認できている方法(英語)を活用しつつ、判別しづらい画像を本文に入れ込み詳細確認のために添付画像を開かせるなど新たな方法も採り入れています。
(日本語版注:この記事では英語のメール例を紹介していますが、類似のものは日本語でも出現する可能性があります。参考としていただければと思います)
悪意あるファイルが添付されたスパムメール
配送業者から届いたように見せかけ、悪意ある添付ファイルを開けさせようとするスパムメールがあります。「配達予定の荷物を受け取るには添付ファイルの情報を確認してください」という内容の、以前から見られる手法です。
以下に示す偽の配達通知メールは、パンデミックの影響で荷物を配達できないので倉庫まで取りに来てもらう必要がある、と文法のおかしい英語で書かれています。
倉庫の住所とその他詳細は添付ファイルに書かれているとのことですが、実際にファイルを開くと、PCに「Remcos」というマルウェアがインストールされます。こうなると、サイバー犯罪者がそのPCをボットネットに追加したり、PCからデータを盗み出したり、他のマルウェアをインストールしたりできるようになります。
偽の配達通知
こちらの例は、「送り状に問題があるので荷物を配達できない」という内容のメールです。先ほどの例と同じように、詳細は添付ファイルを確認するようにと書かれていますが、そのファイルにはRemcosファミリーの別のマルウェアが潜んでいます。
とある配送業者のふりをして送られてきたメールだが、アドレスを見れば偽物だと分かる
本物らしく見せるため、メールの文章内に文書の画像を挿入してある場合があります。以下の例では、メール本文に小さな画像が挿入されています。この画像は領収書のように見えますが、小さすぎて読めない上にクリックしても拡大されず、添付ファイルを開けざるを得ないと思わせる状況を作っています。添付ファイル名には「.jpg」という文字列が含まれています。
メールクライアントでファイルの本当の拡張子が表示されないようになっている場合、受け取った人はこの添付ファイルをJPEG形式の画像ファイルだと思ってしまうかもしれません。実際には、この添付ファイルは実行可能なACE形式のアーカイブファイルであり、中にはスパイウェアプログラムの「Noon」が含まれています。
相手を焦らせてファイルを開かせるために、このメールではわざわざ最後に「ロックダウンが行われる前に荷物を届けるためには、不足している情報を早急にお知らせいただく必要があります」という一文を入れてあります。
偽の配達通知メール。拡張子の2つ付いたアーカイブファイルが添付されている
配達の遅れに関する内容のメールもあります。以下に示すメールには「新型コロナの流行によって配達が遅れます。詳細は添付ファイルを確認してください」と書かれています。このファイルには「Bsymem」というトロイの木馬が含まれており、ファイルを開けてしまうとBsymemがPCにインストールされ、攻撃者がデバイスを掌握してデータを盗めるようになってしまいます。メールの受信者に安心感を与えて油断させるために、このメールの最後には、ご丁寧にも「このメールはメール用セキュリティ製品によってスキャン済みです。悪意あるファイルやリンクは見つかりませんでした」という内容の文言が記されています。
COVID-19流行の影響で配達が遅れるという偽通知
多くのスパムメールは、普段使っているスパムメールの定型文にCOVID-19に関する文言が追加されているだけですが、隔離やパンデミックの急速な広がりの部分に注目するスパムメールもあります。
以下のメールは、「政府が一切の物品の輸入を禁止したため荷物が発送元に返送された」という内容です。
政府が物品の輸入を禁止したと主張するメール
メールには、送り返された荷物の再発送を要求する場合に必要な注文追跡番号については添付ファイルを参照してほしい、とあります。しかし、ファイルを開くと「Androm」というバックドアがインストールされ、攻撃者がこのバックドアを利用してコンピューターにリモートアクセス可能な状態となります。
フィッシング
フィッシング攻撃を専門とする人々も、物流市場の混乱に乗じています。当社では、正規のWebサイトに非常によく似た偽のサイトや、偽物の配達状況確認ページを確認しています。それらはすべて、新型コロナウイルスについて言及しています。
配送サービスの顧客を標的にしたあるフィッシング攻撃では、配送業者の公式サイトに酷似したWebサイトが使われていました。ご丁寧に、新型コロナウイルスのパンデミックに関する最新情報の部分まで複製されています。
公式サイト(左)と、そっくりに作られたフィッシングサイト(右)
以下の例は、別の配送サービスのWebサイトを模したフィッシングサイトです。こちらも非常に精巧で、同じく新型コロナウイルスに関する最新情報の欄があります。
配送サービスのWebサイトそっくりに作られたフィッシングサイト
以下の例は、配送確認状況確認用ページの偽物です。著作権表示の部分に「COVID-19」の文字が加えられています。この偽ページには、認証情報を入力するフォームと、「パートナー」としてメールサービス企業が列挙されている以外には、ほとんど情報がありません。言うまでもないことですが、このページにメールアドレスとパスワードを入力すると、その情報は詐欺の元にわたります。荷物の行方は、当然ながら分かりません。
偽の荷物追跡ページ
罠にかからないために
新型コロナウイルス感染症が世界的に大流行し、荷物の配送遅れが大量に生じている状況の中、偽サイトや偽メールによる攻撃が成功する可能性が高くなっています。特に、自分が本当に荷物の到着を待っている場合には、こういった偽メールを信じてしまうかもしれません。また、配送に関するメールが会社のメールアドレスに届いたとき、そういえば同僚が何かを注文していたかもしれない、と心当たりがあったりする場合も危険です。こうした罠にかからないために、以下の点にご注意ください。
- 送信者のメールアドレスをよく確認する。フリーメールのアドレスから送信されている場合や、メールアドレス内に意味のない文字列が並んでいる場合は、偽物である可能性が高いと考えられます。なお、送信者のアドレスは偽装可能であることも覚えておきましょう。
- よく注意して文面を読む。大手企業が送るメールであれば、文章の体裁が整っていなかったり、文法が間違っていたりするはずはありません。
- 配送業者からのメールに添付されているファイルは開かない。特に、ファイルを開くように強く促すような文面の場合は注意しましょう。配送状況を確認する場合は、ファイルを開くのではなく、配送業者のWebサイトに自分のアカウントでログインして確認してください。また、配送サービスのWebサイトにアクセスするときは、メールに記載のリンクをクリックするのではなく、Webサイトのアドレスをブラウザーに自分で入力してください。
- 新型コロナウイルスについて言及しているメールには、特に注意する。サイバー犯罪者は、今注目を集めている話題を悪用して注意を引こうとするものです。うかつにファイルを開いたりリンクをクリックしたりしないようにしましょう。
- 悪意ある添付ファイルを検知する機能とフィッシングサイトをブロックする機能を備える、定評のあるセキュリティ製品をインストールする。
