COVID-19をテーマとするフィッシング攻撃で使用される偽WebサイトがPfizerやBioNTechなどの商標を偽装

By

Category: Unit 42

Tags: , , , , , ,

Conceptual image representing COVID-19 themed phishing attacks

This post is also available in: English (英語)

概要

Unit 42は、2020年4月、2020年2月以降のCOVID-19をテーマにしたフィッシング攻撃の大量発生について報告しました。世界保健機関がCOVID-19の世界的流行を宣言してから2021年3月でちょうど一年を迎えましたので、攻撃者が悪用する可能性のあるさまざまな新型コロナウィルス関連トピックに関してさらに深い洞察を得るため、過去1年間に観測されたフィッシングの傾向を振り返りました。

私たちはまず、2020年1月から2021年2月の間にグローバルで検出されたすべてのフィッシングURLのリストを手がかりに、新型コロナウイルス関連の各トピックの指標となる特定のキーワード(またはフレーズ)セットを生成しました。それらに対してキーワードマッチングを行い、どのフィッシングURLが各トピックと対応しているのかを判断しました。そのさい、一致したURLが実際にCOVIDに関連していることを確認するため、結果のURLについて繰り返しスポットチェックを行い、それらのキーワードやフレーズを改良し、誤検知の発生を最小限に抑えました。

攻撃者は、感染拡大状況に合わせ、つど最新動向にそった戦術をとっていました。これは緊急性の高さをタイムリーに演出すれば被害者がさらに資格情報を明け渡しやすくなると見込んでのことです。

2020年3月には、個人用保護具(PPE)や検査キット、2020年4月から夏にかけては政府の景気刺激策(たとえばユーザーの認証情報窃取のために米国連邦取引委員会を装った偽の「米国取引委員会(U.S. Trading Commission)」のWebサイト)、2020年晩秋以降はワクチン(同じく、ユーザーの認証情報窃取のためのPfizerとBioNTechの偽のWebサイト)を中心としたフィッシング攻撃が確認されました。ワクチン関連のフィッシング攻撃が2020年12月から2021年2月にかけて530%増加し、薬局や病院に関連しているか、またはそれらを標的としているフィッシング攻撃が、同じ期間に189%増加したとわかったことは注目に値するでしょう。

私たちの分析では、攻撃者が最も好んで標的とした商標はMicrosoftのものでした。たとえば攻撃者は偽のMicrosoftページをセットアップし、米国を拠点とするWalgreens、カナダを拠点とするPharmascience、インドを拠点とするGlenmark Pharmaceuticals、中国を拠点とするJunshi Biosciencesなどの組織の従業員から資格情報を窃取しようとしていました。これらの試みが成功したという証拠は確認されていませんが、世界的に見てヘルスケア産業を狙うアクティビティには高まりが見られます。同セクタ内企業の皆様にはこの点を把握していただき、従業員の方々に資格情報窃取を狙う悪意のあるフィッシングサイトについての注意を喚起していただければと思います。

私たちはワクチン接種実施拡大につれ、ヘルスケア・ライフサイエンス業界を標的とした攻撃を含むワクチン配給関連のフィッシング攻撃が世界中で増加し続けると予測しています。

パロアルトネットワークスの次世代ファイアウォールをご利用のお客様は、URLフィルタリングDNSセキュリティ脅威防御Global Protectなどのセキュリティサービスによりフィッシング攻撃から保護されています。

またこれらのセキュリティサービスに加え、フィッシング攻撃から自分自身と組織を保護するベストプラクティスは次の通りです。

個人の場合:

  • 不審なメールに含まれるリンクや添付ファイルに注意してください。とくにアカウント設定や個人情報に関連するものや緊急性を訴えかけてくるものには注意が必要です。
  • 受信トレイに入ってきた疑わしいメールの送信者アドレスを確認しましょう。
  • ログイン資格情報を入力する場合は、各WebサイトのURLとセキュリティ証明書を二重に確認してください。
  • フィッシングの疑いのある試みを見つけた場合は報告しましょう。

組織の場合:

  • 従業員がうまく不正な電子メールを見分けられるよう、セキュリティ意識向上トレーニングを実施しましょう。
  • 組織のデータは定期的にバックアップし、フィッシングメールを介して開始されるランサムウェア攻撃への防御策にしましょう。
  • さらにセキュリティを強化するため、業務関連のログインにはすべて多要素認証を適用しましょう。

フィッシングの傾向

2020年1月以降、新型コロナウイルスCOVID-19の関連トピックにリンクする69,950件のフィッシングURLが確認されました。そのうち33,447件は、COVID-19そのものに直接リンクしていました。図1は、これらさまざまなトピックの相対的な人気を経時でプロットし、各トピックの人気のピークが100%になるよう正規化したものです。各色のセクションの高さが時間の経過とともにどのように移り変わっていくかを見ると、フィッシング攻撃で安定的に狙われる特定トピックがある一方で、ある時点でより顕著にスパイクしているトピックもあることがわかります。たとえば「医薬品」や「リモート会議(Zoomなど)」は、感染拡大開始以降、フィッシング攻撃で比較的安定した標的となっています。その一方、「ワクチン」や「検査」は、人気のピークがもっとはっきりしています。

この図はCOVID-19をテーマにしたフィッシング攻撃で観察されたトピックについて説明するものです。色付きの線は、リモート会議、経済および政府のプログラム、PPE、薬局および病院、ワクチン、薬物、検査、COVID-19などのトピックを表しています。グラフは、2020年1月から2021年2月までに観測されたURLをグラフ化したものです。Y軸は、正規化された新しいフィッシングURLの数を表します。
図1 2020年1月から2021年2月までの新型コロナウイルスをテーマにしたフィッシング攻撃の傾向(グローバル)

既知の商標をターゲットにしていることが判明しているCOVID-19をテーマとしたフィッシングページは、その大半が、ユーザーのビジネス資格情報(Microsoft、Webmail、Outlookなど)窃取を狙っていると判断されるものでした。図2の棒グラフは、ユーザーログイン資格情報の窃取を試行するフィッシングURLの割合を、対象となったWebサイトごとに分類したものです。たとえば、新型コロナウイルスをテーマにしたフィッシングURLの約23%が偽のMicrosoftのログインページとなっています。感染拡大により多くの従業員がリモートワーク移行を余儀なくされていることから、こうしたビジネス関連のフィッシングの試みが、サイバー犯罪者にとってはますます重要な攻撃ベクトルになってきています。

この図は、COVID-19をテーマにしたフィッシング攻撃で人気のあるターゲットを表したものです。チャートはターゲットとなった商標を人気順に並べてあります。上位のターゲットには、Microsoft、Yahoo、Webmail、Outlook、PayPal、Googleアカウント、LinkedIn、Facebook、USAA、DHL、WeTransfer、SFExpress、Chase、OneDrive、Wells Fargo、Netflix、Excel、AOL、Apple ID、Squareが含まれます。
図2 新型コロナウイルス関連のURL(グローバル)の上位のフィッシングターゲット。各棒グラフは、ユーザーログイン資格情報の窃取を試行するフィッシングURLの割合を、対象となったWebサイトごとに分類したもの(この図は、特定可能な商標をターゲットとするURLのみが含まれている点に注意)

さらに、これらCOVID-19をテーマにしたフィッシング攻撃については、攻撃者がフィッシングキャンペーンをホストするための新しいWebサイトを絶えず作成していることがわかります。新型コロナウイルス関連のフィッシングページをホストしていることがわかった各Webサイトの「年齢」を示した図3では、新しく作成されたサイトで多くの新型コロナウイルス関連のフィッシングページがホストされていることがわかります(ここでは、最初に観測された日が32日以内の若いサイトを新しいと定義しています)。ここからは、攻撃者が意図的に、狙った攻撃の数日前にこれらのサイトを設定していることが示唆されます。これにより攻撃者は、最新の感染拡大状況を取りいれた攻撃用メッセージやWebサイトのURLを作成することができます。

COVID-19をテーマにしたフィッシング攻撃の標的となったURLのWebサイトの年齢(検出時)。X軸は検出時のWebサイトの年齢を日数であらわしており、Y軸は同年齢の観測された相対的な頻度をあらわしたものです。
図3 検出時点で新型コロナウイルス関連のフィッシングページをホストしていたWebサイトの年齢(グローバル)

2020年1月から3月: 初期の急増、検査キットと個人用保護具(PPE)

2020年1月から2月の間にCOVID-19が世界中に拡大しはじめたさい、サイバー犯罪者はすでに間もなく発生する世界的流行に便乗しようとしはじめていました。この時期には、COVID-19に直接関連するフィッシング攻撃が313%増加したことが観測されました。

図4に、COVID-19をテーマにしたフィッシング攻撃の例を示します。この偽のGoogleフォームは、会社のものを装うCOVID-19スクリーニングプログラムに参加するため、ユーザーにメールアドレスとパスワードの入力を求めています。続くページでは、フォームが正当なものという印象を与えるため、それらしい健康関連の質問をしてきます。たとえば「仕事の最終日から次に当てはまるものが2つ以上ありましたか。悪寒、悪寒を伴い繰り返し発生する震え、頭痛、筋肉痛、喉の痛み、最近になって発生した味覚・嗅覚の喪失」といったものです。提出する前の最後の質問では、従業員にフルネームを入力することにより、フォームに「デジタル署名」するように求めてきます。

この偽のGoogleフォームは、会社のものを装うCOVID-19スクリーニングプログラムに参加するため、ユーザーにメールアドレスとパスワードの入力を求めています。このフォームはそれらしい健康関連の質問とユーザーの資格情報の窃取のための質問を織り交ぜています。
図4 https://docs[.]google[.]com/forms/d/e/1FAIpQLSdiQL-IcnGqRIKzTVmpeQSBVRrD06c4NolWvgWcdRH-NgBx-A/viewform?vc=0&c=0&w=1&flr=0(COVID-19スクリーニングに関連する資格情報の窃取用フォーム )
2020年2月から3月にかけて、COVID-19の米国への拡大に対する懸念が急速に高まりました。自分自身と家族を守りたいという人々の願望に応えて、検査キット、手指消毒剤やN95マスクなどのPPE、さらにはトイレットペーパーなどの必需品への関心が急速に高まり始めました。

このグラフは、新型コロナウイルス検査キットのオンラインでの関心とフィッシングの蔓延とを追ったものです。X軸は年と月を表しており、その範囲は2020年4月1日から2021年1月1日までです。Y軸は正規化された人気を追ったものです。青い線はGoogleトレンドによる新型コロナウイルス検査キットへの関心を表し、赤い線はテスト関連のフィッシングを示しています。
図5 「COVID検査キット」へのオンライン上での関心に対するコロナウイルステスト関連のフィッシングの広まり(Googleトレンドによるグローバルデータ)

これらの傾向は過去のフィッシングデータでも確認できます。2020年2月、世界中でPPE関連のフィッシング攻撃が136%増加し、その多くがオンラインショッピング詐欺の形をとっていました(例については図6を参照)。2020年3月の間、ニューヨークタイムズが「アメリカ全土でコロナウイルス検査の不足」と報じたのとちょうど同じころ、検査キットに関連するフィッシング攻撃が750%増加したことがわかりました。

これは、ドイツ語から英語に翻訳された詐欺Webサイトの例です。このWebサイトではPPEを提供しているとされています。
図6 https://atemmaske-kn95-de[.]com(詐欺サイト、ドイツ語から英語に翻訳)
これらの詐欺サイトに加え、資格情報窃取を目的とし、Webサイトを侵害された、おそらくは正規の検査キットベンダも観測されました。図8は偽のMicrosoft Sharepointのログインページで、ユーザーはフィッシングメールのリンクを介してここに誘導されます。このフィッシングページでは対象ユーザーに「急ぎの請求書」を共有したとして、書類を表示したければ電子メールとMicrosoftパスワードの提供が必要だと迫ります。

英国を拠点とするCOVID-19検査キットの卸売業者が所有する正規のWebサイトは、この種のWebサイトが資格情報窃取をねらうCOVID-19をテーマにしたフィッシング攻撃で侵害されることがあるという一例となっている
図7 covid-testkit[.]co[.]uk(英国を拠点とするCOVID-19検査キットの卸売業者)
ユーザーがフィッシングメールのリンクをクリックした場合にアクセスすることになる偽のMicrosoft Sharepointログインページ
図8 covid-testkit[.]co[.]uk/wp-includes/images/i/Newfilesviewc7c782c3b7c54f958e7eb2efff3a49b28866b4fc22dd46cfbad9e6ac9d0cd18cca873584897b48c88d82ecf5cd62783dServices(侵害されたコロナ関連webサイト上の資格情報窃取ページ)

2020年4月から7月: 政府の景気刺激・救済プログラム

2020年4月、IRS(米国内国歳入庁)が新型コロナウィルス経済救済法(CARES Act)の一環として景気刺激のための1200ドルの小切手を個人に配布しはじめます。同じ頃、給与保護プログラム(PPP)が実施され、全米の中小企業に救済を提供することを約束しました。これにより多くの事業主がこの基金の恩恵にあずかるべく殺到し、コロナ関連の景気刺激策や救済プログラムへのオンラインの関心が急上昇して、この資金はたちまち枯渇します

このチャートは、コロナ関連の救済策、刺激策のオンライン関心とフィッシングの広がりを追跡したものです。X軸は年と月を表しており、その範囲は2020年4月1日から2021年1月1日までです。Y軸は正規化された人気を追ったものです。青い線はGoogleトレンドによるコロナ関連救済策への関心を表し、赤い線はこうした政府プログラムに関連したフィッシングを示しています。
図9 オンライン上の「景気刺激プログラム」への関心に対する政府の新型コロナ景気刺激策・救済に関連したフィッシングの広まり(Googleトレンドによるグローバルデータ)

続く2020年4月、私たちは政府救済プログラム関連のフィッシング攻撃が600%増加したことに気づきました。図10、図11は、米国連邦政府の偽の支部「米国取引委員会(U.S. Trading Commission)」を装うフィッシングページです(このページについては米国連邦取引委員会からの警告が出ています)。このウェブサイトは、個人1人あたり最大5800ドルの「一時救済基金」の助成金を約束するものです。ページの右側には偽の統計が表示されていて、まだ数十億ドル分の分配資金が残っているという幻想をユーザーに抱かせるようになっています。

「米国取引委員会(U.S. Trading Commission)」は米国連邦政府の偽の支部で、国連邦取引委員会からの警告が出ています。この図は偽の政府機関が所有していると思われるWebサイトのスクリーンショットです。
図10 ungodsirealnighchis[.]gq/us/protecting-americas-consumers-covid/(「米国取引委員会」を代表しているという体裁の偽のウェブサイト)。

「検証手順の開始」というボタンをクリックすると、ユーザーは、これらの緊急コロナ救済資金を受け取るために、社会保障番号(SSN)と運転免許証番号を尋ねるフォームにリダイレクトされます。

この図は、偽の政府機関である「米国取引委員会(U.S. Trading Commission)」に関連するCOVID-19をテーマとするフィッシング攻撃で、資格情報窃取に使用される「データ検証フォーム」です。
図11 ungodsirealnighchis[.]gq/us/protecting-americas-consumers-covid/verification.php(新型コロナウイルスにまつわる政府支援策に関連する資格情報窃取フォーム)

フォームに記入すると、確認ページには次のように表示されます。「いただいた回答を記録しました。できるだけ早くご連絡いたします。お急ぎの場合はいつでも直接213-746-7272までお問い合わせください。」(ユーザーがフォームに入力した段階で攻撃者の必要とする資格情報はすでに窃取済みなので、この電話番号は偽物の可能性が高いことに注意してください)

正規の景気刺激策・救済プログラムの実施後、多くの人々が依然として財政支援を必要としていたため、その後数か月にわたり、これら経済的救済関連のフィッシング攻撃は比較的人気を保っていました(図9参照)。図12は「COVID-19 Giveaway」から追加の救済資金を受け取るため、個人情報と企業情報、運転免許証の写真、銀行口座の詳細を入力するようにユーザーに求める別の資格情報窃取ページです。図13も同様の例で、こちらは銀行口座情報を入力すればユーザーは3000インドルピーの無料のロックダウン基金パッケージを送信してもらえると約束しています。

コロナ救済のための無償プレゼント企画に関連した資格情報窃取ページ。
図12 covid-19-benefit[.]cabanova[.]com(コロナ救済のための無償プレゼント企画に関連した資格情報窃取ページ)
COVID-19をテーマにしたフィッシング攻撃が世界中で発生しました。このスクリーンショットは、銀行口座情報を入力すればユーザーが3000インドルピーの無料のロックダウン基金パッケージを送信してもらえると約束する詐欺サイトを示しています。
図13 fund4-covid19[.]com(期間限定の「ロックダウン基金パッケージ」を受け取るためにユーザーに銀行口座情報の入力を求める資格情報窃取サイト)

2020年11月-2021年2月: ワクチンの承認と接種実施

続く数ヶ月は、さまざまな州がロックダウンの実施と解除を繰り返し、人々はワクチン候補に関するニュースを待っている状態でした。

2020年11月、何ヶ月も待ちわびたのち、PfizerとBioNTechが「リアルワールド治験において、被験者のサブセットである94名のデータにもとづき、90%を超えるワクチン有効性が示された」という一連の有望な初期結果を公開しました。同12月、米国食品医薬品局(FDA)がファイザーのmRNAワクチンの緊急使用許可を承認し、その後ワクチンの展開が始まります。

こうして現在、多くのアメリカ人が自分自身と家族に予防接種を申し込む方法を探していることから、サイバー犯罪者も当然この傾向を利用しようとしています。2020年12月から2021年2月にかけては、ワクチン関連のフィッシング攻撃が530%増加しました(図14参照)。

このチャートは、コロナウイルスのワクチンについてのオンラインでの関心に対するフィッシングの広がりを追跡したものです。X軸は年と月を表しており、その範囲は2020年4月1日から2021年1月1日までです。Y軸は正規化された人気を追ったものです。青い線はGoogleトレンドによる新型コロナウイルスワクチンへの関心を表し、赤い線はワクチン関連のフィッシングを示しています。
図14 オンライン上の「コロナウイルスワクチン」への関心に対するコロナウイルスワクチン関連フィッシングの広まり(Googleトレンドによるグローバルデータ)

図15、図16は、mRNAワクチンメーカーPfizerとBioNTechを代表したものと主張する偽のWebサイトの例です。このフィッシングページでは、ワクチン接種に申し込むという名目で、Office 365の資格情報を使用してログインするようにユーザーに求めています。

また、このフィッシングWebサイトでは、このところよく使われるようになってきた「クライアントサイドクローキングというテクニックを使っていることにも注目してください。こうしたWebサイトでは、自動化されたクローラーベースのフィッシング検出器を回避するため、資格情報窃取用フォームをすぐには表示せず、まずユーザーに[ログイン]ボタンをクリックするように求めます。

この図は、mRNAワクチンメーカーPfizerとBioNTechを代表すると主張する偽のWebサイトの例です。このフィッシングページでは、ワクチン接種に申し込むという名目で、Office 365の資格情報を使用してログインするようにユーザーに求めています。
図15 pfizer-vaccine[.]online (偽のPfizerのWebサイト。クライアントサイドクローキングのテクニックが使用されている)
こうしたWebサイトでは、自動化されたクローラーベースのフィッシング検出器を回避するため、資格情報窃取用フォームをすぐには表示せず、まずユーザーに[ログイン]ボタンをクリックするように求めます。
図16 pfizer-vaccine[.]online (資格情報窃取用フォーム。ユーザーが[ログイン] ボタンをクリックした後でに表示される)
ワクチン接種の登録プロセスが攻撃者に利用されはじめたころ、ワクチン配給で重要な役割を担う病院や薬局も標的にされることが増えてきました。米国医師会(AMA)が実施した全国調査によれば、医師の診療業務の83%が過去のある時点でサイバー攻撃からの影響を受けています。今まで以上に、ワクチンの製造や配給に関わる組織は、サイバー犯罪にとって価値の高い標的とみなされているものと考えられます。こうした製造や配給プロセスは、時間的な制約が厳しく、かつ重要な機密データを大量に扱うことから、データを人質にとることで身代金を要求しやすいためです。

2020年12月から2021年2月にかけて、薬局(図17)と病院(図18)に関連する攻撃が189%増加したことが観測されました。こうした攻撃の多くは一連の大規模なフィッシングキャンペーンからのもので、だれか1人でも従業員が騙されて偽のログインページで資格情報を入力してくれることを期待して、同じ組織のべつの従業員(たとえば、カリフォルニアのWalgreensやMadera Community Hospital)に複数の異なるURLを送信しています。

2020年12月から2021年2月にかけて、薬局(この図)と病院(図18)に関連する攻撃が189%増加したことが観測されました。
図17 https://iwalgreens[.]beardspoles[.]cc (あるフィッシングキャンペーンからのもの。Walgreensの従業員をターゲットにしている)
2020年12月から2021年2月にかけて、薬局(図17)と病院(この図)に関連する攻撃が189%増加したことが観測されました。
図18 afmaderahospital[.]org[.]anjritlah[.]com (あるフィッシングキャンペーンからのもの。Madera Community Hospitalの従業員をターゲットにしている)
おそらくは当然のことながら、COVID-19のもつグローバルな性質から、製薬会社やヘルスケア企業を標的とするこれらのフィッシングキャンペーンは、米国だけでなく世界中で蔓延しているようです。図19はPharmascienceというカナダ ケベック州最大の製薬会社を標的としたフィッシング攻撃、図20はインド・ムンバイを拠点とする世界的な製薬会社Glenmark Pharmaceuticalsを標的としたフィッシング攻撃、図21は上海を拠点とする製薬研究開発会社、Junshi Biosciencesを標的としたフィッシング攻撃のものです。図21の場合、攻撃者は中国の多国籍配送ロジスティクス企業SF Express を装う偽のログインページをセットアップしていました。これは、攻撃者がJunshi Biosciencesの国際サプライチェーンに関する情報を盗もうとした可能性があることを示しています。

ケベック州最大の製薬会社、Pharmascienceを標的としたフィッシング攻撃。
図19 afpharmascience[.]com[.]oceantrimtex.com (ケベック州最大の製薬会社Pharmascienceの従業員を標的としたフィッシング攻撃からのもの)
ムンバイを拠点とする世界的製薬会社Glenmark Pharmaceuticalsを標的としたフィッシング攻撃。
図20 droidfreedom[.]com/wp-includes/SimplePie/filamora/negwtod/REDACTED@glenmarkpharma.com (ムンバイを拠点とする世界的製薬会社Glenmark Pharmaceuticalsを標的としたフィッシング攻撃からのもの)
上海を拠点とする製薬研究開発会社Junshi Biosciencesを標的としたフィッシング攻撃。
図21 Junshipharma-9107214068[.]parnian-distribution[.]com (上海を拠点とする製薬研究開発会社Junshi Biosciencesを標的としたフィッシング攻撃からのもの)
なかには正規の製薬会社のWebサイトが侵害され、フィッシング目的で使用されている例も観測されました。図22は、ライフサイエンス業界をまたいでビジネスをつなぐ支援をするある会社所有のpharmalicensing[.]comというWebサイトが侵害されて、ユーザーのビジネスでの資格情報を窃取するフィッシングページがホストされていた例を示しています。この種の攻撃はとくに危険です。元のWebサイトが正規のサイトであるため、ユーザーはうっかりこのフィッシングページも正当なものと信じてしまいかねません。

この図は、ライフサイエンス業界をまたいでビジネスをつなぐ支援をしているある会社の保有するpharmalicensing[.]comというWebサイトが侵害され、ユーザーのビジネスでの資格情報を窃取するフィッシングページがホストされていた例を示しています。
図22 pharmalicensing.com/stone/excelzz/bizmail.php(侵害されたPharmalicensingのWebサイト。資格情報の窃取に使用されていた)
世界的にもワクチン接種実施は今まさに進行中のイベントで、ワクチンの生産や流通は今後数か月にわたり拡大し続けることから、ワクチン関連の攻撃やワクチン関連業界を狙った攻撃は増加し続けるものと予想されます。

結論

新型コロナウイルス感染拡大におけるさまざまな時点で、攻撃者は状況の変化に合わせ、あるトピックから別のトピックへと軸足を移してきました。感染拡大初期は検査キットやPPEが攻撃者にとって注視すべき重要ポイントで、その後はそれが政府の景気刺激プログラム、救済プログラム、ワクチン接種の展開へと移りかわっていきました。これまで見てきたように、攻撃者は常に最新トレンドに適応していきますので、サイバーセキュリティの防御もそれに呼応していかねばなりません。

個人では、COVID-19に関連した商品やサービスの販売や利益の提供を謳うメールやWebサイトの閲覧には引き続き注意が必要です。「うますぎる話」に思えるものはほぼ間違いなく「うますぎる話」です。とくにヘルスケア業界にお勤めの皆さんは、メールの受信ボックスに入ってきたすべてのメール内のリンクを疑ってかかる必要があります。とくに、差し迫った要件を匂わせるメールは疑ってください。

フィッシング攻撃から自分自身と組織を保護する一般的なベストプラクティスは次のとおりです。

個人の場合:

  • 不審なメールに含まれるリンクや添付ファイルに注意してください。とくにアカウント設定や個人情報に関連するものや緊急性を訴えかけてくるものには注意が必要です。
  • 受信トレイに入ってきた疑わしいメールの送信者アドレスを確認しましょう。
  • ログイン資格情報を入力する場合は、各WebサイトのURLとセキュリティ証明書を二重に確認してください。
  • フィッシングの疑いのある試みを見つけた場合は報告しましょう。

組織の場合:

  • 従業員がうまく不正な電子メールを見分けられるよう、セキュリティ意識向上トレーニングを実施しましょう。
  • 組織のデータは定期的にバックアップし、フィッシングメールを介して開始されるランサムウェア攻撃への防御策にしましょう。
  • さらにセキュリティを強化するため、業務関連のログインにはすべて多要素認証を適用しましょう。

個人や組織が自分自身を保護するために使用できるより具体的な提案については、「COVID-19で2020年はサイバー犯罪のゴールドラッシュに」のブログも参照してください。

これらの一般的なベストプラクティスに加えて、パロアルトネットワークスの次世代ファイアウォールをご利用中のお客様はさまざまな方法でこれらの攻撃から保護されています。

パロアルトネットワークスが感染拡大時に組織を保護するのにどのように役立つかについて詳しくは、こちらからご覧ください。

謝辞

分析に使用したデータソースの一部をご提供くださったWei Wang氏、Wayne Xin氏、Jingwei Fan氏、Yu Zhang氏、Seokkyung Chung氏にお礼を申し上げます。また、Jun Javier Wang氏、Kelvin Kwan氏、Vicky Ray氏、Laura Novak氏、Jen Miller-Osborn氏、Eddy Rivera氏、Erica Naone氏には本稿の改善にご協力をいただきました。ありがとうございました。

IoC

COVID-19

covid-19-benefit[.]cabanova[.]com
abccoronavirus[.]online
cpvqapyxmr[.]covid19coronaca[.]net
sign-amazonsnews-alert[.]peduli-covid19.com

Vaccines(ワクチン)

vaccine-sarscov2[.]online
sarscov2vaccine[.]online
universalvirusvaccine[.]com
pittsburgh-coronavirus-vaccine[.]online
nhs-vaccination.com
pfizersupply.eu
covid-19vaccine[.]uscis-gov[.]online

Testing(検査)

covid-testkit[.]co[.]uk/wp-includes/images/i/Newfilesviewc7c782c3b7c54f958e7eb2efff3a49b28866b4fc22dd46cfbad9e6ac9d0cd18cca873584897b48c88d82ecf5cd62783dServices
sarscov2-test[.]online
y2down[.]xyz/unreadmessages/testkits

PPE(個人用保護具)

maskacoronavirus[.]online
maskakoronawirus[.]online
malibumasks[.]com/.offce365/?
cloroxus[.]com
www[.]lysolmz9[.]top
atemmaske-kn95-de[.]com

Drugs and Pharmaceuticals(ドラッグ、医薬品)

veklury-covid19[.]online
covid19-veklury[.]top
remdesivir-covid19[.]online
covid19-veklury[.]online
covispharmac[.]com
walgreens[.]mcroficatellc[.]com

Pharmacies and Hospitals(薬局、病院)

jyhhospitaljp[.]com
neelkantcollegeofpharmacy[.]com/images/icon/invntce/shoffpro/sharepoint/verification.php
www[.]afbiohavenpharma.com.dailyoffercode.com
www[.]afamagpharma.com.dulcerialamejor.com
www[.]afbiohavenpharma.com[.]diasahabatku[.]com
www[.]afbiohavenpharma.com[.]besttodaymart[.]com

Economy and Government Programs(経済および政府プログラム)

disvey[.]ir/authcovid-19reliefgov
covid-stimulus-payment[.]gov[.]free-inhabitant[.]com

hellos[.]tcp4[.]me/Standard-Bank-Online-Relief-Funds-UCount-onlinebanking.standardbank.co.za-direct-login/Standard%20Bank%20Online%20Banking.htm
hmrc[.]covid[.]19-support-grant[.]com
fund4-covid19[.]com
furlough-grant[.]com
covid19emergencyfinancialrelief[.]com

(Gathering Remotely)リモート会議

zoominceinvite[.]s3[.]amazonaws[.]com/invitezoom08.html
bit[.]ly/zoomtroubleshoot
us02web[.]zoom[.]us[].]coremailxt5mainjsp[.]com
incoming[.]zoomcallrequest[.]org
zoom-free1[.]com
zoommeetinactivation[.]web[.]app