フィッシング
新型コロナウイルス「Covid-19」のワクチン接種に便乗する脅威
トレンドマイクロでは、新型コロナウイルスCovid-19の流行を悪用したサイバーセキュリティ上の脅威を監視しています。Covid-19に関する最近のワクチンに関する動きを見ていると、サイバー犯罪者は、誤った情報で世間を騒がせたり、オンライン上でのワクチン関連の不正活動に便乗したりと、ワクチンの接種プロセスに関心を高めていることがわかります。
トレンドマイクロでは、新型コロナウイルスCovid-19の流行を悪用したサイバーセキュリティ上の脅威を監視しています。Covid-19に関する最近のワクチンに関する動きを見ていると、サイバー犯罪者は、誤った情報で世間を騒がせたり、オンライン上でのワクチン関連の不正活動に便乗したりと、ワクチンの接種プロセスに関心を高めていることがわかります。そして2020年末ころから、サイバー犯罪者はワクチンの認知、製造、流通といった話題を誘い文句にして企業や消費者を狙い始めました。
図1:Covid-19のワクチンの話題に便乗した不正活動の検出数
(トレンドマイクロSPNによる)
トレンドマイクロが保持するCovid-19のワクチンの話題に便乗した不正活動の証跡を元に、トレンドマイクロのクラウド型セキュリティ技術基盤であるSmart Protection Network(SPN)の統計を元にその件数を追跡したところ、2020年第3四半期に大幅に増加し、同年第4四半期にピークに達していることがわかりました。これらの不正活動としては、フィッシング詐欺、バックドア、偽アプリ、マルウェア(ランサムウェアなど)およびそれらのモバイル向けの亜種などがあげられます。サイバー犯罪は、これまでのワクチンに関する情報提供の話題に便乗するだけでなく、ワクチン開発の最終試験に関するニュースや、現在進行中のワクチン配布計画に関するニュースなど、新たに便乗できるトピックにも関心を持つであろうことを予測していた可能性があります。
■ 攻撃手法、標的、挙動について
トレンドマイクロのデータからは、世界各地で予防接種や配布の話題に便乗したマルウェアの拡散、詐欺、攻撃に関して、新旧のさまざまなソーシャルエンジニアリングの手口が確認されました。以下、それらの手法や標的について説明します。
標的となった「コールドチェーン」
コールドチェーンとは、温度管理された製品が、その完全性と品質を維持するために冷蔵環境下で生産、保管、輸送、流通されることを保証するサービスの継続的な物流と管理を意味します。特にワクチンのコールドチェーンでは、各段階において、商品の取り扱い、保管、輸送に関する特別な訓練を受けた人材が必要であり、訓練を受けた専門家が監督・管理し、管理手順、専門的なプロトコル、法律上の義務に基づいて行われます。
図2:ワクチンのコールドチェーンおよび悪用が可能とされる箇所
このようなワクチンのサプライチェーンであるコールドチェーンに注目する中、メーカーや物流会社など、コールドチェーンに関わる人物やそれらの組織の顧客を標的としたフィッシング詐欺が徐々に増加していることが明らかになってきました。トレンドマイクロでは、これらのフィッシング詐欺で駆使された不正なファイル、メール、ウェブサイトを、機密情報を盗む経路として追跡した結果、主な標的が通信、銀行、小売、政府、金融といった業界であったことを確認しました。これらの企業はワクチン接種のプロセスに大きく関与している可能性が高いために狙われたと推測されます。
図3:コールドチェーンを狙ったフィッシング攻撃の国別分布
また、マルウェアを駆使する攻撃者は、コールドチェーンを狙ってサプライチェーンのパートナーを攻撃したり、大量購入に関心のある他国や企業をターゲットにしたり、さらには求職しているようなユーザをターゲットにしたりしています。
マルウェア「EMOTET」に関しては、法執行機関によるテイクダウンが世界規模で実施されましたが、今なおトレンドマイクロでは、Covid-19のワクチン、医療報告書、情報更新のメールをおとりにした攻撃をさまざまな国において複数確認しています。これは、過去にEMOTETに感染した端末がいまも存在し、まだ完全に除去されていないことを示唆していますが、この点に関しては、これら残留した感染端末が処理されるにつれて、徐々に収束していくものと思われます。
また、バングラデシュや米国で展開されているマルウェア「LOKIBOT」の亜種が、ワクチン業者になりすまし、ワクチンの最新情報やリリーススケジュールを提供すると装ったスパムメールに埋め込まれているのが確認されました。他社のレポートと同様、トレンドマイクロ製品で検出されたランサムウェアとして、主に米国とドイツからのランサムウェア「VAGGEN」が確認されていました。なお、コールドチェーンを狙ったフィッシング攻撃の大部分はオランダとオーストリアのサーバから確認されました。
図4:EMOTET検出の国別分布(端末からインターネットへのアウトバウンドのネットワークで検出)
図5:正規企業からのワクチン関連情報の提供サイトや求職者向けサイトを装うフィッシングページ
横行する詐欺やマルウェア
また、ワクチンについての詳細情報を知りたい人、ワクチンを入手する方法を探している人、仕事や援助に応募したい人などを狙った詐欺も引き続き多発しています。関連当局は、非政府組織(NGO)やワクチン配布に関わる企業を装った偽装サイトを多数削除しましたが、訪問者の個人情報を詐取するサイトは依然として多く見受けられました。
図6:バイオテクノロジー企業の偽のウェブサイト
図7:ワクチン支援を装う偽のNGOコンソーシアムのウェブサイト
悪質な業者は、SMSを利用してワクチンの配布、高齢者・失業者・経営難に陥っている企業への支援策などを騙り、個人情報を送信させる詐欺行為を行っています。例えば、インドではSMSワームがテキストメッセージを介して拡散されている状況がツイートされていました。被害者がテキスト内のリンクをタップすると、ワームは被害者の連絡先を悪用して拡散します。この詐欺を公開したTwitterの投稿へのコメントでは、これがデュアルSIMの端末に対応する最初のモバイルマルウェアになる可能性が指摘されていました。特筆すべきは、このマルウェアは、コードが最初に認識したオペレーターを使ってワームを送信するという点です。
図8:インドのユーザを対象にしてワームを拡散するためにワクチン登録チャネルを装ったモバイルアプリが確認された。インド政府のデジタルプラットフォーム「Co-WIN」を騙る偽のワクチン登録ページ(左上から1~3枚目)、Sahaita Foundationの偽アプリ(4~6枚目)。そのほか、MyVaciRegistというアプリ(右下)は、国内のワクチン接種予約のために個人を登録するなどと称していた。
図9:被害者の連絡先リストを利用してテキストで拡散するモバイルワーム(上)およびデュアルSIM対応を示すコード(下)
(出典:Lukas Stefanko氏およびAxelle Ap氏のTwitter投稿より)
図10:許可を有効化してワームを拡散させるためにユーザをリダイレクトするコード
不正アプリケーションの中には、インドのユーザをターゲットに展開され、互いに関連性がありながら異なる誘い文句を利用していた攻撃もいくつか確認されました。また、Covid-19の検査登録を装った偽アプリも確認されました。これらはそれぞれV-Alert COVID-19(トレンドマイクロでは「AndroidOS_Cerberus.HRXC」として検出)や、Covid-19 Test(トレンドマイクロでは、「AndroidOS_Anubis.GCL」として検出)と名付けられていました。これらのマルウェアは、以前ツイートされたマルウェアと同様のコマンド&コントロール(C&C)サーバを使用しており、バンキングトロジャン「Anubis」および「Cerberus」を拡散していました。Cerberusについてさらに詳しく調べてみると、日本とドイツをターゲットにして「Google Update」を装うCerberusの亜種も確認されました。
また、インド政府のデジタルプラットフォーム「Co-WIN」ページを装ったアプリも登場しており、「FakeApp」という不正プログラム(トレンドマイクロでは「AndroidOS_FakeApp.NGPF」として検出)をインストールし、ワクチン登録者の機密情報を詐取することを目的としていました。さらに、偽TikTokや「register laptop」というアプリの偽物を解析したところ、2020年7月からFakeAppを拡散しており、2021年4月末頃に現れ始めた最新のCo-WIN登録ページの偽物と同様の傾向が見られました。FakeAppのサイバー犯罪者は、偽のCo-WINプラットフォームを使用することで、できるだけ多くの国民にワクチンを接種するという継続的な取り組みと、インドにおける感染症の増加の双方の状況に便乗していました。このような不正活動では、残念ながら政府がより多くの人にワクチン接種を実施するために障壁を減らそうとしていた状況を逆手にとっていました。
図11:Covid-19に便乗した不正アプリ。これらはすべてトレンドマイクロでは「AndroidOS_FakeApp.NGPF」として検出される
図12:FakeAppを拡散させるソーシャルエンジニアリング手法には、学生を狙った「register laptop」アプリ(左上から1~3枚目)、TikTokの偽アプリ(4~6枚目の)、Airtelの偽アプリ(右下)などがある
違法なアンダーグラウンド市場や偽の予防接種カードの売買
2020年第4四半期以降、捜査当局は偽のワクチンや治療薬を販売するグループの逮捕やウェブサイトの閉鎖を継続的に進めています。さらに、FacebookなどのソーシャルメディアサイトやTelegramなどのメッセージングプラットフォームで偽ワクチンを販売するページが広がっていることを報じてきましたが、この点でもさらに多くの販売サイトが偽ワクチンを提供していることが確認されています。さらに、偽のワクチンを販売しているとされる正規のEコマースサイトに関しても世界中で調査が進められています。捜査当局は、これら悪意のある企業がユーザの銀行口座、クレジットカード情報、個人情報を狙って、なりすまし活動を行っている可能性があると警告しています。また、こうした集団は、無防備なユーザに対して、利益よりも実害が大きいものを売りつけようとしている可能性もあります。
図13:特定の企業を標的に偽ワクチンを販売しているとされる正規のEコマースサイトやウェブページ(B2Bのマーケットプレイス)
徐々に平常に戻りつつある中、アンダーグラウンド市場では、自身のワクチン接種状況を偽る目的で、偽の予防接種カードを入手したいと考える人が増えています。販売者は、ソーシャルメディアを利用してこれらの偽カードを作成するための情報を得ていると言われています。こうした点から捜査当局は、以下の2つの理由から、正当にワクチンを接種したユーザに向けて、自身のカードを見せるようなソーシャルメディアの投稿しないよう繰り返し求めています。1つは、言うまでもなく、カードに記載された個人情報の盗難を防ぐためです。もう1つは、ハッカーがカードを偽造するための情報得られないようにするためです。ここで強調すべき点は、これらのカードが偽造されると、感染が拡大する可能性があることです。偽造されたカードがワクチンを接種していない個人に不当に販売されると、ワクチン接種の有無の確認にも混乱が発生し、これによりパンデミックが長期化し、世界中で緊急事態宣言やロックダウンの期間が長くなる可能性が高まるからです。
図14:米国発行の予防接種証明を販売するとする不審サイトの例、個人情報を窃取する不正サイトにリダイレクトされる
(調査ツールDomainToolsにより取得)
大規模なイベントが行われる国のユーザを狙う
図15: Covid-19のワクチン接種の話題に便乗した攻撃の検出数上位15か国
(期間:2021年1月~5月)
特定の国での検出が急増しているのも特徴であり、そこから「なぜその国が狙われているのか」という疑問が生じてきます。例えば、ワクチンの話題をおとりにする場合は、米国が最重要ターゲットとなっています。特に今回確認した事例では、大手ワクチンメーカーの2社が米国に本社を構えていることから、コールドチェーンという攻撃経路の点からも米国が格好の標的になったと推測されます。
ヨーロッパとアジアの中ではフランスと日本が最も多くなっています。これらの情報からは、2021年に開催予定の各種イベントに便乗して、サイバー犯罪がターゲットを選定しているのではないかとも考えられます。これらは、全仏オープン、ツールドフランス、ラグビーワールドカップ、そして東京オリンピックといったイベントです。実際に、フランスおよび日本の両国とも、これらのイベントの観客や参加者にはワクチンパスポートなどのワクチン接種を証明するものが必要だと発表しています。
また、アジアやアフリカでの感染も顕著に増加しています。第1四半期から第2四半期にかけて、これらの2つの地域における感染が記録的に増加したことから、サイバー犯罪者が援助を要請したり配布したりする正規の団体になりすまして活動している可能性があります。また、この2つの大陸では、人口の多い国にワクチンがまだ届いていないことも、サイバー犯罪者の手口が変化した理由の1つと考えられます。
■ 結論
2021年の第1四半期において不正活動の若干の減少が見られたことから、サイバー犯罪者は、次なる展開やパンデミックに関する新たな話題を待ちつつ、それらの便乗に備えていると推測されます。一方で、世界的に予防接種が実施されていることから、これらの話題に便乗する手口がすぐに収束することはなく、今後もこれらの手口について監視し続けていく必要があります。最終的にはサイバー犯罪者の関心やターゲットが他の国や話題に変わっていくものの、いまだにCovid-19の変異株が世界各地で広がっていることを考えると、サイバー犯罪者は今後数ヶ月間はこの話題に便乗し続けるでしょう。
その結果、まだ国民にワクチンを接種していない他の国などが、便乗手口の次なるターゲットになる可能性が高いと考えられます。そうした中、サイバー犯罪者は、このような局地的に広がっていく状況をより積極的に利用していくでしょう。また、パンデミックに関する今後の展開を見定めながら、入手経路や効力を喧伝する「治療法」や「薬」に関する誤った情報をネット上に広めていく可能性もあります。
また、パンデミックに関連する文書や技術も標的になる可能性が高いといえます。ビジネスやレジャーでの旅行を楽しみにしている人が増えれば、アンダーグラウンド市場における偽造書類の販売やサービスが横行するでしょうし、人々の健康状態や予防接種の記録をチェックする技術は、オンラインで悪用される格好の攻撃対象になるでしょう。
実際、サイバー犯罪者は、より多くの情報を求める人々のニーズや欲求につけ込み、特に感染率がすでに低下している国などを狙っては「正常な状態に戻る」ことを示唆する情報を提供し続けるでしょう。そのため、ワクチン接種後も誤報やフェイクニュースが横行し、まだ接種していない人や接種しないことを選択した人にアピールするような誤った情報も出てくる可能性があります。
■ Covid-19便乗詐欺の被害に遭わないためには
サイバー犯罪者グループは、狙った端末への感染や攻撃に使用できる最も効果的な手法を見つけ出し、何も知らない個人ユーザを標的にして、こうした他人の犠牲の上に利益を得ようとします。以下、これらの脅威や詐欺からリスクを軽減し、被害に遭わないためのベストプラクティスを紹介します。
- アプリ、ソフトウェア、メディアのダウンロードは、公式のプラットフォームやウェブサイトからのみ行ってください。非公式なプラットフォームのアプリやソフトウェアには、不正なコンポーネントが埋め込まれていたり、人気のある他のアプリを装っておびき寄せたりしている場合があります。また、本来の目的とは関係のない機能を持っているアプリにも注意が必要です。
- 緊急を要するメールやテキストメッセージに埋め込まれたリンクなどを不用意にクリックしないことです。これらのリンクは、デバイスへのアクセス、機密情報の盗用、マルウェアの拡散などを目的として埋め込まれたフィッシングやスミッシングのURLである可能性があります。また、これらのリンクから、意図的にデバイスへマルウェアを感染させる不正サイトにつながる危険性もあります。
- 特にソーシャルメディアでは、フェイクニュースや広告、検証されていない情報などを不用意に拡散しないようすることです。フェイクニュースの見出しは、クリックを促すように工夫されています。読者の興味を引き起こしたり、操作させる強い感情を呼び起こす注意を喚起したりします。また、これらのページから、情報を盗んだりマルウェアを拡散したりする不正サイトにリダイレクトされる危険性もあります。共有する前に、同じ内容を掲載している他の信頼できる既知のメディア機関を検索するなどして、情報の正確さを確認する必要かあります。
■ トレンドマイクロのソリューショントレンドマイクロでは、お客様のビジネスやデバイスを危険にさらす可能性のあるCovid-19便乗のすべての攻撃や不正活動を引き続き監視しています。また、すべての感染経路を阻止し、不正プログラムが拡散される不正なドメインへのユーザからのアクセスを防ぐため、多層的な防御策を推奨します。
- 個人のお客様
個人利用者向け総合セキュリティ対策製品「ウイルスバスタークラウド™」は、マルウェアだけでなく、それらが使用する不正サイトも検知してブロックします。
スマートフォンの対策は、不正なアプリをブロックする「ウイルスバスターモバイルTM」を利用できます。多層的なセキュリティ機能によって、デバイス所有者のデータやプライバシーを保護し、ランサムウェア、不正サイト、個人情報窃取などから身を守ることが可能となります。
- 法人のお客様
法人のお客様は、エンドポイント・メール・Webセキュリティを実装する「User Protection」ソリューションが有効です。これらはトレンドマイクロのXGenセキュリティが活用されています。ゲートウェイからエンドポイントに至るまで多層に渡る保護を提供し、ユーザへの影響を最小限に抑えます。
企業向けのスマートフォン向けセキュリティ対策製品「Trend Micro™ Mobile Security」は、デバイス、コンプライアンス、アプリケーションの管理、データ保護、設定のプロビジョニングを行います。また、脆弱性を悪用した攻撃から端末を保護し、アプリへの不正アクセスを防止するとともに、不正プログラムや詐欺サイトを検知してブロックします。「Mobile App Reputation Service(MARS)」は、最先端のサンドボックス技術およびML技術を用いることでAndroidおよびiOSを狙う脅威を阻止し、マルウェア、ゼロデイおよび既知のエクスプロイト、プライバシー漏洩、アプリケーションの脆弱性といった被害からユーザを保護します。
■ 侵入の痕跡(Indicators of Compromise、IoC)
今回の記事に関する侵入の痕跡は、こちらを参照してください。
参考記事:
- 「Threats Ride on the Covid-19 Vaccination Wave」
by Paul Pajares
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)