本ブログは、英語版ブログ「https://www.proofpoint.com/us/corporate-blog/post/emotet-leverages-coronavirus-and-greta-thunberg-again-while-coronavirus-threats」の翻訳です。
広く認知され注目を集める世界的なイベントや緊急事態は、脅威アクターによるキャンペーンに利用される可能性があります。Emotetの背後にいる攻撃グループであるTA542は、その効果を明確に信じており、最近のコロナウイルスによる健康被害や気候変動に関する議論を利用してクリックを確保しています。Proofpointの脅威調査チームは、TA542が新型コロナウイルスをテーマにしたルアーを使用していることを観測するとともに、グレタ・トゥーンベリをテーマにしたキャンペーンが再度現われたことも確認しました。また一方で、コロナウイルスをテーマにしたWebサイトの登録を開始している脅威アクターについても調査しており、これらのサイトは今後、攻撃に使われる可能性があります。
現在確認されているEmotetのコロナウイルスをテーマにした電子メール攻撃は、日本語のルアーを使用したもののみです。一方でグレタ・トゥーンベリをテーマにしたキャンペーンは地理的に広く分散しており、オーストラリア、オーストリア、バルバドス、ドイツ、香港、日本、マレーシア、シンガポール、スペイン、スイス、アラブ首長国連邦、米国など、世界中の少なくとも12か国をターゲットにしています。
TA542は、複数のキャンペーンを同時に実行する能力があることに注意してください。Emotetのインフラは信頼性が高く、メトリック駆動型であり、機能に応じて拡張できるように構築されています。
コロナウイルスをテーマにしたルアー:日本
確認されたメールの中には、送信者が「京都府山城南保健所福祉室」と「京都府共同募金会」とされたものがありました。
これらの電子メールの例を図1に示します。図2は、テキストを英語に翻訳したものです。
Figure 1 Corona-themed Emotet Lure in Japanese
図2:コロナウイルスをテーマにした日本語のEmotetルアーと英語への翻訳
興味深いことに、TA542はルアーに適切な健康指導を入れるために時間をかけたようで、コロナウイルスの症状と取るべき行動に関する情報が含まれています。これにより、ルアーの信憑性が向上しました。
他のEmotetキャンペーンと同様に、これらの電子メールの多くには、悪意のあるマクロを含むMicrosoft Word文書が添付されています。ドキュメントが開かれユーザーがマクロを有効にすると、Emotetがインストールされます。また、添付のPDFメッセージを使用し、Microsoft Word文書をダウンロードするためのリンクを含む例も確認しました。
グレタ・トゥーンベルグをテーマにした最新のルアー
グレタ・トゥーンベルグをテーマにした最新のルアーは、2019年12月のものと非常によく似ており、件名と添付ファイルの名前はほとんど同じです。今回はクリスマス休暇に関する言及はなく、気候変動問題のほうに焦点を当てています。
新しい点としては、これらのメールの一部で、グレタ・トゥーンベルグをテーマにした無料のTシャツ、ズボン、ペン、ポスター、マグカップがルアーの一部として使用されていることが挙げられます。この最新のキャンペーンの例を図3に示します。
今回のキャンペーンが12月のキャンペーンと比べてほとんど変化が無いのは、攻撃者がこのままで十分効果的であると考えているからでしょう。
コロナウイルスをテーマにしたWebサイト
Proofpointの研究者は、コロナウイルスをテーマにした他の攻撃や詐欺についても注意深く監視しており、攻撃者がコロナウイルスをテーマにしたURLとWebサイトを登録し始めていることを確認しました。これらの動きのひとつの例を、図4に示します。
図4:最近登録されたコロナウイルスをテーマにしたWebページ
今回見つかったページはまだアクティブではありませんが、合理的に考えれば、これは将来のコロナウイルス関連の悪意のある活動への準備の初期段階であるということでしょう。
自らを守るために
これらの活動はすべて、最新の事態(特にコロナウイルス)に対する緊急のアクションを求めるメールやWebサイトには注意しなければならない、ということを思い出させてくれます。確認済みの信頼できるWebサイトのみにアクセスするようにしてください。
またTA542は、最新のイベントに迅速に対応することができ、言語や地域に基づいて選択的にキャンペーンのターゲットを設定できる高度な能力を備えた、恐るべき脅威アクターグループであることも忘れてはいけません。Emotetはさまざまな追加のマルウェアをダウンロードし、ネットワーク全体に拡散し、感染したデバイスを使用してさらなる攻撃を仕掛けることができるため、セキュリティチームは引き続き電子メールチャネルを保護し、添付ファイルに関連するリスクの増大についてユーザーを教育することが重要です。