パニクるな! : COVID-19サイバー脅威ヒッチハイクガイド

By

Category: Threat Brief, Unit 42

Tags: ,

This post is also available in: English (英語)

概要

「Unit 42って何をするところ?」と聞かれて筆者がいつも返しているいちばんシンプルな答えは「悪いことをする悪いやつらを調べること」です。 新型コロナウイルス感染症(COVID-19)が世界規模で流行するなか、多く人々が現状に向き合い、生活の変化を強いられています。それは「悪いやつら」にしても同じことで、彼らはこのパンデミックに便乗したサイバー攻撃を繰り出しています。

このアウトブレイクがサイバー攻撃者にもたらす機会は、テクノロジーとは関係ありませんが、危機に瀕した人間のとる行動や習慣の変化には関係しています。

本稿の目的は、多くの皆さんがすでに経験している恐怖や不安をさらに煽ることではありません。いま何が起こっているのか、皆さんご自身と所属組織をどのように保護すればよいのかを知る手がかりを提供することです。

COVID-19をテーマにしたフィッシングやマルウェアの配布

世間をにぎわす他の事件・事故同様、攻撃者たちは衆目を集めるCOVID-19を利用して、電子メールに添付した悪意のあるファイルを開かせ、フィッシング リンクをクリックさせようとします。これは単体の攻撃やイベント キャンペーンがそうだというのではなく、COVID-19に関連するテーマが広く利用されているということです。Unit 42は、「COVID-19」およびそれに関連したキーワードを件名に盛り込み、NetWire、NanoCore、LokiBotなどの遠隔操作ツール(RAT)やその他のマルウェアが添付された悪意のある電子メールを特定しました。以下は見つかった電子メールの件名の一部です。

  • CORONAVIRUS (COVID-19) UPDATE // BUSINESS CONTINUITY PLAN ANNOUNCEMENT STARTING MARCH 2020. (コロナウイルス(COVID-19)についてのアップデート // 2020年3月開始の事業継続計画公表)
  • Latest corona-virus updates (最新のコロナウイルスに関するアップデート)
  • UNICEF COVID-19 TIPS APP (ユニセフ COVID-19のヒント アプリ)
  • POEA HEALTH ADVISORY re-2020 Novel Corona Virus. (フィリピン海外雇用管理局による2020新型コロナウイルスに関する勧告)
  • WARNING! CORONA VIRUS (【警告】 コロナウイルス)

添付ファイル名には以下のようなものがあります。

  • AWARENESS NOTICE ON CORONAVIRUS COVID-19 DOCUMENT_pdf.exe
  • Coronavirus COVID-19 upadte.xlsx
  • CORONA VIRUS1.uue
  • CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm
  • covid19.ZIP

上記の一覧は網羅的なものではなく、このテーマにそった新たな変種は次々に出てきます。こうした攻撃が、今後数週間から数か月継続するものと考えられます。さらに報道される内容が変われば、攻撃者もそれに合わせてきます。税務申告、請求書、出荷注文に関連するありがちなテーマを使用した攻撃も、こうしたCOVID-19関連の攻撃と同時に発生しています。

偽アプリ

人々がCOVID-19やその影響、安全に過ごす方法についての情報を探すようになると、スマートフォンに助けを求める人々も増えます。すでに複数の COVID-19関連情報を提供することを装った悪意のあるAndroidアプリケーションが報告されています。攻撃者はこれらのアプリを使い、デバイス経由でユーザーを盗み見たり、デバイスを暗号化したりして、元に戻すことを引き換えに対価を要求することがあります。

これまでの対策と同様に、Androidユーザーは信頼できない提供元からのアプリをインストールせず、Google Playストアのアプリのみを利用しましょう。iPhoneユーザーはジェイルブレイク(脱獄)してサードパーティの提供元からアプリをインストールしたりせず、App Storeのアプリのみを利用しましょう。

COVID-19をテーマにしたドメイン名

Unit 42が確認した範囲では、過去数週間で、「covid」、「virus」、「corona」などの用語を含む多くの(実に10万件を超える)ドメインが登録されています。これらすべてに悪意があるわけではありませんが、いずれも疑わしいものとして扱う必要があります。どれほどこれらのサイトが情報や検査キット、治療法について喧伝していても、このパンデミックがニュースになるまでウェブサイトは存在しなかったわけですから、その有効性には懐疑的にならざるをえません。

安全を確保するためのパロアルトネットワークスの対応策

パロアルトネットワークスがいつも推奨しているベストプラクティスは、今回のケースでも、組織やネットワークを脅威から保護するための正しい方法です。弊社の製品やサービスは、社員にリンクをクリックさせ、添付ファイルを開かせようとする攻撃と同様に、COVID-19に関するサイバー脅威も防ぐことができます。以下を含む弊社の脅威防御をぜひフル活用ください。

  • Best Practice Assessment(ベストプラクティス評価)を実行し、よりよいセキュリティ態勢のために変更すべき設定がないかどうか確認します。
  • PAN-DBのURLフィルタリングを利用して、過去32日間に登録されたドメインを含む「新規登録ドメイン」をブロックします。それらすべてに悪意があるわけではないですが、社員が騙されるのを防ぎます。

新しい情報が入り次第、本稿は更新されます。