●続々と増えるコロナ関連ドメイン、国内でもコロナに乗じた攻撃確認

○新型コロナウイルスに便乗? 関連のドメイン名登録が増加

新型コロナウイルスの被害は世界中で拡大していますが、新型コロナウイルスに便乗したサイバー攻撃、特にフィッシング詐欺が増えているのが現状です。

チェック・ポイント・ソフトウェア・テクノロジーズの調査によると、2020年1月以来、新型コロナウイルス(COVID-19)というキーワードに関連したドメイン名が全世界で16,000件以上登録されていることがわかりました。 その数は3月以降も増加を続けています。

新型コロナウイルス関連のドメイン登録数の推移 資料:チェック・ポイント・ソフトウェア・テクノロジーズ

こうしたWebサイトは、例えば「coronavirus」といったドメイン名でコロナウイルスの情報提供やマスク・ワクチンの配布をするように見せかけて、実際にはIDとパスワード情報を盗みとったり、悪意あるソフトウェアをインストールさせたりといった悪意ある活動を行います。

チェック・ポイントでは、こうしたドメインのうち少なくとも5%は疑わしいもので、3%は悪意あるサイトであることが確認しました。 参考までに下記に悪意のあるドメインの例を紹介します。

coronaviruscovid19-information.com

・2020年3月11日に登録

・Androidユーザに悪意のあるアプリをダウンロードするよう誘導

・アプリはコロナウイルスに関する医療情報(検査、感染を避ける方法など)を提示すると思われるが、実際には、Cerberusマルウェア(Androidデバイス用の特定のバンキング画面オーバーレイ機能を備えたリモートアクセストロイの木馬(RAT)、SMSコントロール、キーロガー、オーディオ録音、位置情報の追跡などを装備)に関連するペイロードが含まれていたりする

coronavirusstatus.space/index.php

・2020年2月初旬に登録

・AZORultマルウェアのC&Cサーバとして使用

・AZORultは、感染システムでデータを収集し外部に送信するトロイの木馬である。保存されたパスワードやローカル・ファイル、仮想通貨のウォレット、コンピュータのプロファイル情報をリモートのC&Cサーバに送信する

- コロナウイルス感染のライブマップに関心のあるユーザーがターゲット

Coronavirusapp.site

・2020年3月8日に登録

・Androidユーザーに「Coronavirus Tracker」という名前の悪意のあるアプリをダウンロードするように促す

・ユーザーがアプリをインストールした場合、ユーザーのデバイスをロックする。「CovidLock」ランサムウェアに関連するペイロードが使用され、ロックを解除するにはBitcoinでの代金の支払いが必要となる

○日本国内でもコロナウイルスに便乗した攻撃を確認

コロナウイルスに便乗した詐欺やサイバー攻撃は、日本国内でも報告されています。例えば、新型コロナウイルスに対する政府の対応に関連する情報を提供するかのように見せかけた、厚生労働省そっくりのWebサイトが登場し、3月10日に厚生労働省自ら注意を呼びかけました。アクセスすると、何らかの被害を受ける恐れがあります。

また、それに先立つ1月末の時点で、新型コロナウイルスに関する情報提供を装い、添付ファイルを開かせてマルウェアに感染させようとする攻撃メールが確認され、情報処理推進機構(IPA)が注意を呼びかけました。2019年末から国内で広がり始めた「Emotet」マルウェアで、ユーザを騙して感染させる新たな手段として使われているのです。そのほか、SMS経由でコロナウイルスに関するフィッシングメールをばら撒き、不正なアプリをインストールさせようとする手口も確認されています。

新型コロナウイルスを題材とした攻撃メールの例(2020年1月) 資料:IPA

今に限った話ではありませんが、五輪のような大型イベントや自然災害に便乗し、ユーザーを騙してIDとパスワードを盗み取る手口は後を絶ちません。 通常から、以下の点を徹底することが重要でしょう。

見知らぬ送信者から受け取ったメールや添付ファイルには注意を払う

何らかの物資を購入する際は、プロモーションメールのリンクをクリックせず、確かなソースから購入する

なお、現時点でコロナウイルスの特効薬は発見されていませんから、「コロナウイルス対策を今だけ特別に150ドルで提供します」といったメールは、ほぼ詐欺と考えて無視するのがいいでしょう。

●テレワークを安全に行うためのポイントは?

○テレワークの安全性は「認証」で守る

さて、新型コロナウイルス対策の一環として、テレワークを導入する企業が急増しました。東京五輪に向けて進めてきた準備を前倒したケースもあるようです。

テレワーク導入にあたって、多くの企業が懸念しているのがセキュリティ対策です。境界防御で保護されていた企業ネットワーク内とは異なり、自宅やコワーキングスペースからダイレクトにクラウドサービスにアクセスする環境では、アクセス制御やマルウェア検知といったセキュリティ対策を一律に実施するのは困難です。

「どの端末にアクセスを許可し、その際、どのような対策を講じる必要があるのか」「誰がどのデータを扱っていいのか」といった事柄を曖昧にしたまま、なし崩し的にテレワークに移行すると、思わぬ事故が起こりかねません。

特に、テレワークを安全に行う上で重要な要素の1つが「認証」です。ネットワーク越しにアクセスしてくる相手が誰なのかを確認することが、セキュリティの第一歩になります。もしIDとパスワードを盗み取られて不正アクセスされてしまうと、業務に関するデータが持ち出されたり、そこを足がかりに広範囲に侵害を受けたりする恐れもあります。

そこで、IDとパスワードをしっかり管理し、必要に応じて二要素認証を導入して強化するとともに、アクセス制御を厳密に行い、必要以上の範囲にアクセスできないよう制御することが重要です。

○テレワーク導入を基本的なセキュリティ対策見直しのきっかけに

テレワーク環境では、フィッシング詐欺に注意すると同時に、セキュリティ上抑えておくべき事柄があります。 以下、紹介しましょう。

テレワークに利用するデバイスを適切に選択する

会社によっては支給が間に合わず、個人で利用していたPCをテレワークに利用することもあるでしょう。その際にはIT部門と相談しながら、OSやアプリケーションを最新のものにしてパッチを適用し、脆弱性を塞ぐとともに、OSのセキュリティ機能やエンドポイントセキュリティソフトを利用して対策を強化することが大切です。

利用するアプリケーションやWebサービスにも配慮が必要です。テレワーク導入でにわかにWeb会議システムの活用も広がっていますが、例えば「Zoom」には、会議IDの規則性を推測することで、パスワードの設定されていない会議に第三者が参加できる脆弱性が見つかったこともあります(英語https://research.checkpoint.com/2020/zoom-zoom-we-are-watching-you/)。

活用するアプリケーションにセキュリティ上の問題がないか、また利用する際に不用意な設定にならないか、十分に注意を払うことが重要です。

安全にWi-Fiを利用する

公共の場所で提供されているWi-Fiもそうですが、パスワードなしで誰でも利用できるWi-Fiでは、通信が暗号化されず、近くにいて同じWi-Fiを利用している人が通信内容を盗聴し、IDやパスワードまでも盗み見できてしまいます。自宅のWi-Fiの設定はどうなっているでしょうか? あらためてWi-Fiのパスワードを確認し、合わせてファームウェアをアップデートするなど必要な対策を実施する、いいタイミングと言えるかもしれません。

また企業全体の視点では、テレワークを1つのきっかけにして、「自社にとって重要なデータは何か、本当に守らなければならないものは何か」を定義し、セグメントを分け、誰がそのデータにアクセスしてもいいかというルールを定めることが重要です。そして、許可したユーザであっても、ゼロトラストの考え方に基づいて、2要素認証などの手段で認証を行った上でアクセスさせることが大切です。

もう一点、あちこちで漏れ聞こえてくる話ですが、いざ全社的にテレワークを実施してみたら本社側のネットワーク帯域がいっぱいになったり、VPNゲートウェイ機器の負荷が高まって使い勝手が悪かったり、というケースも起こっています。自社のネットワークがきちんとスケールするか、できない場合はどのように増強・冗長化するかも頭の中に入れておかなければならないでしょう。

降って湧いたテレワークの波。IT管理者にとっては大騒ぎかもしれませんが、基本的なルールを見直し、対策を徹底する機会と捉え、取り組んでみてはいかがでしょうか。

著者プロフィール

○チェック・ポイント・ソフトウェア・テクノロジーズ株式会社

○サイバー セキュリティ オフィサー

通信機器の開発企業、ネットワーク/セキュリティ輸入販売代理店を経て1997年チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.co.jp/)に日本法人設立メンバーとして参画。イスラエルでのトレーニングを経て、セキュリティ・エバンジェリストとして講演や啓蒙活動に務める。 感銘を受けた言葉は「通信は人をハッピーにする」。