Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

ブログ > セキュリティリサーチ

COVID-19関連の攻撃が30,000%増加

公開日:

著者:

Deepen Desai

COVID-19関連の攻撃が30,000%増加

驚くような数字ですが、入力ミスではありません。1 月以降、COVID-19に関連する、リモートユーザを標的にする、フィッシング、不正Webサイト、マルウェアが、30,000%も増加しています。ゼットスケーラーでは1月に、こういった攻撃が1,200件も確認され(ブロックされ)ました。3月には数が、380,000件に跳ね上がりました! 

最近のウェビナーでも言及しましたが、サイバー犯罪者は、大事件や人気のブランド、流行しているゲームといった、世界中でトレンドになっているあらゆるものを悪用し、マルウェアを高い確率で成功させようとします。そして、残念ながら、彼らは人間の恐怖や不確実性につけ込むだけではありません。COVID-19関連の攻撃や詐欺の爆発的な増加は、その事実を如実に示しています。

検知された詐欺の総数

サイバー犯罪者は、今回のコロナウイルスの大流行をどのように悪用し、攻撃を仕掛けているのでしょうか。
 

新規登録ドメインの増加

コロナウイルスの感染拡大が始まって以来、我々は、130,000以上の不審な新規登録ドメイン(NRD)を確認しました。サイバー犯罪者は、新しいドメインを登録して、現在進行中の事件や出来事に関連する単語やテーマを悪用することで、レピュテーションブロックリストからの検知を回避します。それらは新規のドメインであるため、不審Webサイトのどのリストにも登録されていません。

我々が確認したNRDには、test、mask、Wuhan、kitなどの、COVID-19と結び付けられることが多いキーワードが含まれていました。
 

新規に登録されたドメイン

 

企業や一般ユーザを標的にするフィッシング攻撃  

COVID-19に関連するフィッシング攻撃では、企業だけでなく、一般ユーザも標的にされました。企業を標的にするスピアフィッシングメールは、受信者の会社のITチームや給与計算を担当する部門から送信されたかのように装っていました。さらには、CAPTCHA画面を使用することで正当なメールであるかのように見せかけ、セキュリティクローラによる検知を回避していました。
 

VPN構成

自宅からの接続

O365を使ったフィッシング

captchaを使ったフィッシング


一般ユーザを標的にする例としては、政府からの給付金の申請を支援するように見せかけて個人情報の提供を求めたり、COVID-19に関連して寄付を呼びかけたりする不正メールが確認されました。多くの場合、これらのサイトは、ユーザをだまして個人情報や企業の認証情報を提供するためのものです。
 

COVID募金

給付金
 

PowerPoint文書でブラジルのユーザに送り込まれるRAT

ある詐欺では、COVID-19の影響を受けたホテルの一覧が記載されているとされるPowerPointファイルが使われました。ところが、ユーザが実際にそのファイルを開くと、そのユーザのコンピュータに多段階方式のRAT(リモートアクセスのトロイの木馬)がロードされ、システムに関する情報が収集され、キーストロークが記録され、それらすべての情報がコマンド&コントロールサーバに送信されます。この詐欺は、ブラジルのユーザを標的にするものでした。
 

在宅勤務者を標的するマルウェア攻撃

ソーシャルディスタンシングやロックダウンが世界中で発令されたことで、多くの人が在宅勤務に移行し、オンラインで授業に参加するようになり、多くの人がセキュリティやプライバシーを確保する目的でVPN(仮想プライベートネットワーク)を利用するようになりました。当然ながら、正規のVPNクライアントに見せかけてユーザをだまし、マルウェアをダウンロードさせたりインストールさせたりする、偽VPNソフトウェア攻撃を始めるサイバー犯罪者が現れました。
 

医薬品や食料品のサイトを標的にするJavaScript詐欺

サイバー犯罪集団のMagecartの活動が引き続き確認されています。我々がブロックした複数のインスタンスに、医薬品や食料品のサイトのスキマーコードの感染が確認されましたが、これは、コロナウイルスの感染拡大によって生活必需品をオンラインショッピングで購入する個人が増加したためです。

この感染拡大の時期に、オンラインで注目を受け付けるためのいくつかの新しいWebサイト(特に地域の食料品店)が作成されましたが、残念ながら、すべてのサイトが安全な方法で作成されたわけではないため、攻撃されて、スキマーコードがインジェクションされるサイトも確認されました。ユーザがこれらのWebサイトのいずれかを利用して何かを購入しようとすると、JavaScriptのスキマーコードによって支払ページにフォームが動的に追加され、サイトの情報、クレジットカードのデータ、ユーザの個人情報が不正取得されてしまいます。Magecartによる過去の攻撃については、以前にこちらで取り上げたことがあります。
 

モバイルユーザも標的に

サイバー攻撃者は、COVID-19をルアーとして悪用し、フィッシングやモバイルマルウェアを使ってモバイルユーザも攻撃しています。我々が確認したあるWebサイトは、Androidアプリのダウンロードサイトと称し、そのアプリは、世界中のコロナウイルスの感染拡大状況を追跡し、COVID-19患者が近くで見つかったことユーザに警告するというものでしたが、実際には、ユーザのデバイスをロックし、ロックを解除するための身代金を要求するランサムウェアでした。

また、別の詐欺として、Androidアプリケーションパッケージ(APK)をインストールすると「コロナ対策マスク」を受け取れるというものもありましたが、実際には、ユーザのすべての連絡先を収集し、ダウンロードリンクを含むすべての連絡先にSMSメッセージを送信するSMSのトロイの木馬がインストールされ、ダウンロードのリンクを使ってさらに多くのユーザにそのトロイの木馬を拡散するものでした。
 

ナイジェリアの419詐欺と同様の手口

COVID-19に乗じた攻撃が複数の異なる脅威カテゴリで確認されましたが、それには、数十年前からある、ナイジェリア419詐欺のようなものも含まれていました。

具体的な例として、COVID-19に乗じた詐欺メールが、ウイルスに感染し、重症の中国人実業家/政治家の治療にあたっている「アメリカ人の医師」から届きます。その医師は、瀕死の状態にある患者の預金が中国政府を始めとする悪者の手に渡る前に中国から引き出す手助けをして欲しいと訴えます。

ナイジェリアの詐欺


感染拡大の危機はいずれは終息するが、脅威は存続するため、保護を継続する必要がある

COVID-19によってもたらされる多くの不確実性によって、企業は、従業員のデジタル環境での健全性を働く場所に関係なく確保する新たな方法の検討を迫られています。サイバー犯罪者は、この今なお続く危機に乗じて、ツール、手法、手順を迅速に変化させ、世界的な不確実性を悪用して企業の従業員を標的にするようになっています。

また、感染拡大の終息後に、セキュリティが保証されていない自宅のヘットワークに何か月にわたって接続されてきた数千台のマシンが企業ネットワークに物理的に接続されるようになることも、セキュリティにとっての大きな懸念事項です。これらのマシンのどれかが感染していた場合、攻撃者がそのマシンを足掛かりに企業ネットワークへと侵入し、そこから感染が一気に広がる恐れがあります。このリスクによって再認識すべきは、あらゆる場所にユーザに同一の保護を提供する常時オンのセキュリティ、すなわち、セキュアアクセスサービスエッジ(SASE)ゼロトラストネットワークアクセス(ZTNA)アーキテクチャによって提供されるセキュリティの重要性です。
 

従業員が協力して攻撃を回避する

サイバー犯罪者が世界的な危機をエンドユーザシステムを攻撃する好機と捉えていることから、すべての組織の全従業員のセキュリティに対する意識を向上させる必要があります。オンラインに公開されていたり、受信トレイやSMSで受け取ったりしたものに関して確信を持てない場合は、ITセキュリティチームに連絡して支援を求めるよう、ユーザに指示する必要があります。

すべてのユーザに以下のベストプラクティスを周知することが重要です。
 

  • COVID-19情報の信頼できる情報源だけ利用する
  • 電子メールによる緊急募金の依頼に注意する(知っている相手からの依頼と思われる場合も、送信者に電話で確認する)
  • 知らない相手から送られてきたリンクや添付ファイルを開かない
  • 2要素認証を有効にする
  • オペレーティングシステムにパッチを適用し、セキュリティアップデートを適用する
  • 金融取引でSMS/電子メール通知を有効にする
     

ゼットスケーラーを利用するメリット

ゼットスケーラーは、クラウドとモビリティによって従来型のネットワークとセキュリティアーキテクチャに大変革が迫られるという予測のもとに設立されました。この新しい環境を保護するため、ネットワーク、デバイス、場所の区別なく、アプリへの高速かつ安全で信頼性の高いアクセスを保証するセキュリティクラウドをゼロから構築する方法を我々は選択しました。ゼットスケーラーの専用マルチテナントクラウドアーキテクチャは、ネットワークインフラストラクチャの簡素化、セキュリティとユーザエクスペリエンスの向上、コスト削減を可能にします。しかしながら、これらは、すべてのトラフィックをゼットスケーラーを利用して保護している、400を超えるForbes Global 2000企業の採用理由の一部にすぎません。

ゼットスケーラーのクラウドは、6大陸の150を超えるデータセンタで構成されており、お客様のネットワーキングやセキュリティのポリシーが、あらゆる場所からインターネットに接続するユーザに適用されます。ユーザに最も近いゼットスケーラーのデータセンタにルーティングされて、一貫性あるセキュリティポリシーが適用されるため、オフィス、出張先、あるいは自宅のいずれの場所でも高速のユーザエクスペリエンスが実現します。セキュリティスタックがクラウドに置かれるため、トラフィックを本社のネットワークにバックホールしてセキュリティインスペクションを実行する必要はありません。

ゼットスケーラーのクラウドは毎日、4,000を超える企業の1,000億件を超えるトランザクションを処理しています。そのトラフィックの中で、平均55億件のトランザクションをセキュリティ違反やポリシー違反の理由によってブロックしています。ゼットスケーラーのクラウドでは、120,000件のセキュリティアップデートを毎日実行しており、これには、シグネチャ、ドメイン、URL、ファイルハッシュ、その他のインテリジェンスが含まれます。ゼットスケーラーのクラウドアーキテクチャのスケーラビリティにより、SSLインスペクションを有効にした状態であっても、大量のセキュリティスキャンを実行できます。

前述の脅威の詳細については、ウェビナー「COVID-19関連のサイバー攻撃について知っておくべきこと」を参照してください。

ゼットスケーラーのThreatLabZチームは今後も継続してゼットスケーラーのクラウドを監視することで新しい脅威を特定し、お客様の安全を保証します。


Deepen Desaiは、ゼットスケーラーのセキュリティリサーチ担当バイスプレジデントです。



お勧めのブログ