2019年のメール脅威を総括、ソーシャルな手法が進化(吉澤 亨史氏メールセキュリティ・コラム)
企業や個人を狙うサイバー攻撃は、現在もメールが大きな割合を占めています。その目的はマルウェア感染や情報を盗み出すことで、手法も多様化しています。マルウェア感染を目的とした手法では、マルウェアを添付したり、本文のURLリンクから悪意のあるウェブサイトに誘導したりするほか、脆弱性を悪用するケースも増えています。また、ログイン情報などを盗み出すことを目的とした手法では、フィッシングの手法が取られています。ここでは、2019年のメール脅威をまとめます。
「Love_You」メールから始まった2019年
2019年におけるメール脅威は、マルウェア「Emotet(エモテット)」とフィッシングの急増が特徴的でした。もちろん、標的型メール攻撃やBEC(ビジネスメール詐欺)も特定の業界を標的として、継続して行われています。メールは依然として、サイバー攻撃者の主要な攻撃ツールとなっています。2019年を振り返ってみると、フィッシングに代表されるような「だまし」のテクニックを使ったメール攻撃が目立ちました。そして、その目的はさまざまな情報です。
2019年は、急激に増加した「Love_You」メールから始まりました。これは「Love_You」とランダムな数字の組み合わせが件名となっているメールで、Zipファイルが添付されています。Zipファイルを開いてしまうとダウンローダーが起動し、さまざまなマルウェアをダウンロードして感染させます。具体的には、ランサムウェアやスパムボット、コインマイナー、ダウンローダー、システム設定ツールなどでした。
アスキー:ランサムウェア「Love you」が日本をターゲットにした大規模キャンペーンを展開
https://ascii.jp/elem/000/001/806/1806218/
その後も、ExcelやWordといったマイクロソフト「Office」のファイルを添付するマルウェアメールが多く登場しました。ファイルを開くと「コンテンツを有効化してください」という表示が出て、有効化してしまうとマクロによってマルウェアがダウンロードされ、感染するという仕組みです。開いたファイルに「ぼかし」の入った画像が表示されるなど、有効化したくなるような手口も確認されています。
また、「Re:請求書の送付」など業務上必要と思わせるような件名を持つ、ばらまき型のマルウェアメールも数多く見られました。これらは主に細工された画像ファイルが添付されており、画像を開くとその裏で悪意のあるプログラムが実行され、マルウェアに感染するというものでした。具体的には、PowerShellを起動させてメモリ上でマルウェアを生成する「ファイルレスマルウェア」と呼ばれるケースが目立ちました。
IIJ、wizSafe Security Signal 2019年4月 観測レポート
https://wizsafe.iij.ad.jp/2019/05/667/
8月には「Emotet」のアップデート版が登場、猛威を振るう
8月には、マルウェア「Emotet」が再登場し、10月後半から感染被害が増加しました。Emotetは数年前にバンキングマルウェアとして数多く検知されていましたが、再登場したEmotetは複数の機能を持つマルウェアに進化していました。特徴的なのはその手法で、「だまし」のテクニックを使っています。送信元を実在の組織や人物になりすまし、数回のやり取りを行うケースも確認されています。そして、添付されたWordファイルを開き、「コンテンツの有効化」ボタンを押すと、マクロによってEmotetに感染します。
Emotetに感染すると、PCやブラウザに保存されたパスワードなどの認証情報を盗み、そのパスワードを使ってSMB経由でネットワーク内に感染を広げようとします。また、メールアカウントのパスワードを盗み、メールの履歴やアドレス帳の情報も盗み出します。Emotetはこれらの情報を活用して、新たなマルウェアメールを作成します。実際に仕事のやり取りで使用した件名や本文、送信者などを利用するため、受信者は正当なメールだと思い、添付ファイルを開いてしまうわけです。
さらに、Emotetは別のマルウェアをダウンロードして感染させる機能もあり、ランサムウェアに感染する企業も増えています。ランサムウェアに業務で使用するファイルを暗号化されてしまい、業務が止まってしまうケースもあります。感染したPCから、Emotetのマルウェアメールが送信されることもあり、この場合には感染した被害者が加害者になってしまいます。現在、セキュリティ情報サイトやセキュリティ対策ベンダーが、多くの注意喚起を発表しています。
IPA:「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
https://www.ipa.go.jp/security/announce/20191202.html
フィッシングが急増、目的はログイン情報のマネタイズ
マルウェアの感染に脆弱性を悪用するケースも増えています。2019年は、ファイルの圧縮・解凍用ソフト「WinRAR」などに含まれるDLLの脆弱性を悪用し、ランサムウェアに感染させるケースが多く確認されました。脆弱性を悪用する場合は、添付ファイルを開いてもその中身が表示されるだけですが、その裏側で感染活動が行われます。マイクロソフトやアドビ、オラクルなどの製品の脆弱性が多く悪用されました。
ZDNet:圧縮・解凍ソフト「WinRAR」の脆弱性、さまざまな攻撃キャンペーンで悪用
https://japan.zdnet.com/article/35134329/
また2019年は、フィッシングメールが急増したことも特徴となっています。フィッシングの主な目的は、特定のサービスやシステムへのログイン情報を入手して販売することです。そのため、サービスやシステム管理者を装って、「セキュリティ対策を更新した」「不正アクセスされた可能性あり、一時的にアカウントを停止した」、あるいは「100万円が当たりました」などの言葉でリンクをクリックさせてログインさせます。しかし、そのログイン画面は偽物で、そこに入力されたIDやパスワードを盗み取るわけです。2019年はさまざまなブランドを騙るフィッシングが確認されています。
フィッシング対策協議会:2019/10 フィッシング報告状況https://www.antiphishing.jp/report/monthly/201910.html
このように、メールを介したサイバー攻撃は増加しており、手口も巧妙になってきています。特に、本文に使用される日本語が上達し、違和感のないものになってきています。これは、日本が標的となっている証拠といえます。2020年にはオリンピックが開催されるため、メールの脅威はさらに増すことでしょう。こうした脅威への対策には、いわゆる統合セキュリティ対策ソフトの導入が欠かせません。
メールの件名や差出人、添付ファイルなどによって危険なものを検知することが大事ですが、2019年の傾向を見ると、正規のメールの振りをして検知を回避しようとしています。そのため、精巧ななりすましに気づけることが重要なポイントになります。セキュリティ対策ソフトやソリューションでは、AIを活用して怪しいメールをあぶり出したり、企業向けではトレーニングを行って従業員が不審なメールに気づけるようにしたりするものもあります。PCはマルウェアが動作する現場となりますので、セキュリティ対策は慎重に選びたいものです。
No comments yet.