新型コロナウイルスに便乗した“スピアフィッシング”、中国やロシアなどの攻撃グループが仕掛ける

　新型コロナウイルスの感染拡大に便乗した、中国、北朝鮮、ロシアの攻撃グループによる複数のスピアフィッシング攻撃が観測されたとして、ファイア・アイ株式会社が情報を公開した。

　スピアフィッシングは特定の人物や企業を標的とする攻撃の手口。ファイア・アイでは、新型コロナウイルスをテーマにした内容で、マルウェア感染を狙ったメールが1月から劇的に増加していることを観測した。金銭や認証情報の窃取を目的に、バンキングトロジャン「Trickbot」を含む多くのマルウェアの拡散を狙ったさまざまな攻撃キャンペーンでみらみれたという。

　例えば、中国の攻撃グループ「TEMP.Hex」は、新型コロナウイルスに関連したおとり文書を利用して、ベトナム、フィリピン、台湾の組織を標的にマルウェア「Sogu」「Cobalt Strike」のペイロードを展開しようとしていた。

　おとり文書には政治家による実際の発言・提言などが含まれていたことから、公的な情報源をもとに作成された可能性が高いとみられている。なお、TEMP.Hexは、2010年ごろから東アジア地域を標的にした攻撃活動を展開している。

　中国の別の攻撃グループは、新型コロナウイルスの感染数に関する公式な統計が含まれた内容のメールをモンゴルの組織に送り付け、バックドア「PoisonIvy」を仕掛けようとしていた。同グループは過去にも、モンゴル政府と同国の鉱業権益に焦点を当てた攻撃を展開している。

中国の攻撃グループが展開したおとり文書の例

中国の攻撃グループが展開したおとり文書の例2

　また、ロシアからの支援を受ける攻撃グループ「TEMP.Armageddon」は、新型コロナウイルスをテーマにしたメールをウクライナの組織に送り付けていた。内容は正規に存在する文書のコピーとみられるものだった。

　このほか、北朝鮮由来の攻撃とみられる攻撃も観測された。韓国語で「コロナウイルス対応」と書かれたメールが韓国のNGOに対して送り付けられていた。

北朝鮮由来と思われる攻撃グループが展開した文書の例

　このように、新型コロナウイルスの世界的な流行に便乗した攻撃は今後も継続する恐れがあるとして、ファイア・アイは注意を呼び掛けている。