マルウェア

パニクるな! : COVID-19サイバー脅威ヒッチハイクガイド

Clock Icon < 1 min read
Related Products
Advanced URL Filtering iconAdvanced URL Filtering

This post is also available in: English (英語)

概要

「Unit 42って何をするところ?」と聞かれて筆者がいつも返しているいちばんシンプルな答えは「悪いことをする悪いやつらを調べること」です。 新型コロナウイルス感染症(COVID-19)が世界規模で流行するなか、多く人々が現状に向き合い、生活の変化を強いられています。それは「悪いやつら」にしても同じことで、彼らはこのパンデミックに便乗したサイバー攻撃を繰り出しています。

このアウトブレイクがサイバー攻撃者にもたらす機会は、テクノロジーとは関係ありませんが、危機に瀕した人間のとる行動や習慣の変化には関係しています。

本稿の目的は、多くの皆さんがすでに経験している恐怖や不安をさらに煽ることではありません。いま何が起こっているのか、皆さんご自身と所属組織をどのように保護すればよいのかを知る手がかりを提供することです。

COVID-19をテーマにしたフィッシングやマルウェアの配布

世間をにぎわす他の事件・事故同様、攻撃者たちは衆目を集めるCOVID-19を利用して、電子メールに添付した悪意のあるファイルを開かせ、フィッシング リンクをクリックさせようとします。これは単体の攻撃やイベント キャンペーンがそうだというのではなく、COVID-19に関連するテーマが広く利用されているということです。Unit 42は、「COVID-19」およびそれに関連したキーワードを件名に盛り込み、NetWire、NanoCore、LokiBotなどの遠隔操作ツール(RAT)やその他のマルウェアが添付された悪意のある電子メールを特定しました。以下は見つかった電子メールの件名の一部です。

  • CORONAVIRUS (COVID-19) UPDATE // BUSINESS CONTINUITY PLAN ANNOUNCEMENT STARTING MARCH 2020. (コロナウイルス(COVID-19)についてのアップデート // 2020年3月開始の事業継続計画公表)
  • Latest corona-virus updates (最新のコロナウイルスに関するアップデート)
  • UNICEF COVID-19 TIPS APP (ユニセフ COVID-19のヒント アプリ)
  • POEA HEALTH ADVISORY re-2020 Novel Corona Virus. (フィリピン海外雇用管理局による2020新型コロナウイルスに関する勧告)
  • WARNING! CORONA VIRUS (【警告】 コロナウイルス)

添付ファイル名には以下のようなものがあります。

  • AWARENESS NOTICE ON CORONAVIRUS COVID-19 DOCUMENT_pdf.exe
  • Coronavirus COVID-19 upadte.xlsx
  • CORONA VIRUS1.uue
  • CORONA VIRUS AFFECTED CREW AND VESSEL.xlsm
  • covid19.ZIP

上記の一覧は網羅的なものではなく、このテーマにそった新たな変種は次々に出てきます。こうした攻撃が、今後数週間から数か月継続するものと考えられます。さらに報道される内容が変われば、攻撃者もそれに合わせてきます。税務申告、請求書、出荷注文に関連するありがちなテーマを使用した攻撃も、こうしたCOVID-19関連の攻撃と同時に発生しています。

偽アプリ

人々がCOVID-19やその影響、安全に過ごす方法についての情報を探すようになると、スマートフォンに助けを求める人々も増えます。すでに複数の COVID-19関連情報を提供することを装った悪意のあるAndroidアプリケーションが報告されています。攻撃者はこれらのアプリを使い、デバイス経由でユーザーを盗み見たり、デバイスを暗号化したりして、元に戻すことを引き換えに対価を要求することがあります。

これまでの対策と同様に、Androidユーザーは信頼できない提供元からのアプリをインストールせず、Google Playストアのアプリのみを利用しましょう。iPhoneユーザーはジェイルブレイク(脱獄)してサードパーティの提供元からアプリをインストールしたりせず、App Storeのアプリのみを利用しましょう。

COVID-19をテーマにしたドメイン名

Unit 42が確認した範囲では、過去数週間で、「covid」、「virus」、「corona」などの用語を含む多くの(実に10万件を超える)ドメインが登録されています。これらすべてに悪意があるわけではありませんが、いずれも疑わしいものとして扱う必要があります。どれほどこれらのサイトが情報や検査キット、治療法について喧伝していても、このパンデミックがニュースになるまでウェブサイトは存在しなかったわけですから、その有効性には懐疑的にならざるをえません。

安全を確保するためのパロアルトネットワークスの対応策

パロアルトネットワークスがいつも推奨しているベストプラクティスは、今回のケースでも、組織やネットワークを脅威から保護するための正しい方法です。弊社の製品やサービスは、社員にリンクをクリックさせ、添付ファイルを開かせようとする攻撃と同様に、COVID-19に関するサイバー脅威も防ぐことができます。以下を含む弊社の脅威防御をぜひフル活用ください。

  • Best Practice Assessment(ベストプラクティス評価)を実行し、よりよいセキュリティ態勢のために変更すべき設定がないかどうか確認します。
  • PAN-DBのURLフィルタリングを利用して、過去32日間に登録されたドメインを含む「新規登録ドメイン」をブロックします。それらすべてに悪意があるわけではないですが、社員が騙されるのを防ぎます。

追加リソース

  1. 新型コロナウイルス感染症関連組織を狙うフィッシング攻撃 日本も標的に

  2. 新型コロナウイルス感染症につけこむサイバー攻撃者たち:関心の高いドメイン名登録で収益化

  3. 新型コロナウイルス(COVID-19)関連クラウド脅威の概況

  4. 脅威攻撃グループSilverTerrierによる新型コロナウイルスをテーマにしたビジネスメール詐欺の手口

  5. クラウド環境内のCOVID-19をテーマにしたマルウェア

新しい情報が入り次第、本稿は更新されます。

更新履歴

  1. 2020-04-24 18:50 初版公開
  2. 2020-04-28 09:18 追加リソースセクションを追加
  3. 2020-05-07 17:51 追加リソースセクションに3件目のエントリ『新型コロナウイルス(COVID-19)関連クラウド脅威の概況』を追加
  4. 2020-05-08 16:56 追加リソースセクションに4件目のエントリ『脅威攻撃グループSilverTerrierによる新型コロナウイルスをテーマにしたビジネスメール詐欺の手口』を追加
  5. 2020-05-13 09:56 追加リソースセクションに5件目のエントリ『クラウド環境内のCOVID-19をテーマにしたマルウェア』を追加

Tags

目次

関連記事

関連項目 マルウェア リソース

Pictorial representation of APT Fighting Ursa. The silhouette of a bear and the Ursa constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple claw marks, representing space and distant planetary bodies.
category icon脅威アクター グループ

「車売ります」広告で標的を釣る Fighting Ursa
今すぐ読む Right arrow
Pictorial representation of phishing or cybersquatting using GenAI keywords. Glowing cube with the letters 'AI' illuminated in blue, centered on a complex network of interconnected circuits and digital nodes, suggesting advanced technology and artificial intelligence themes.
category icon脅威リサーチ

生成 AI (GenAI) 人気に便乗する詐欺攻撃の傾向
今すぐ読む Right arrow
Representation of accelerating malware analysis. Two professionals working in a high-tech monitoring room filled with large screen displays showing data and graphs. One person is seated looking at a monitor, while the other, wearing glasses, is deep in thought.
category icon脅威リサーチ

緊急時に役立つマルウェア分析時短術
今すぐ読む Right arrow
A digital concept of BadPack malware showing a large malware alert symbol on a screen, set against a background filled with lines of computer code and network diagrams in shades of blue and pink. The word "MALWARE" prominently displayed within the alert symbol.
category icon脅威リサーチ

BadPack にご用心: Android アプリの奇妙な分析回避トリック
今すぐ読む Right arrow
Person in a blurred motion is working on a computer with screen showing lines of code, emphasizing a dynamic and intense focus on software development or programming in a dimly lit room.
category icon脅威リサーチ

DarkGate: Excel ルアーから公開 Samba へつづく感染チェーンと回避戦術の分析
今すぐ読む Right arrow
A laptop on a desk displaying a vibrant graphical interface with a circular red pattern, possibly representing cybersecurity or data analysis. The laptop is illuminated by the screen’s glow in a dimly lit room, which also shows a blurred background suggesting a secondary monitor and small desk objects.
category icon脅威リサーチ

Visual Studio Code Node.js デバッグによる GootLoader 分析
今すぐ読む Right arrow
The image depicts a close-up view of a circuit board featuring microchips and electronic components with bright red digital data streams emanating from the surface, symbolizing high-speed data processing and technology innovation.
category icon脅威リサーチ

公開された Cobalt Strike Malleable C2 プロファイルの悪用・回避手口の調査
今すぐ読む Right arrow
Lines of binary in the shape of a blue skull on a dark background
category icon脅威リサーチ

Operation Diplomatic Specter: 活発な中国のサイバースパイ活動 稀なツールセットを駆使して中東・アフリカ・アジアの政府機関を標的に
今すぐ読む Right arrow
An open laptop with a red target on the screen.
category icon脅威リサーチ

悪意のある OneNote サンプルのペイロードの傾向
今すぐ読む Right arrow
A mobile phone with technical details on screen. It is sitting on a glowing circuit board.
category icon主なサイバー脅威

[2024-05-21 09:55 JST 更新] 脅威に関する情報: Operation MidnightEclipse、CVE-2024-3400 に関連するエクスプロイト後の活動
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow