新型コロナ便乗の攻撃が3月に急増、「COVID-19に感染させる」と脅迫するメールや専用サイトの販売などを確認

　新型コロナウイルス感染症（COVID-19）の拡大に便乗したフィッシング詐欺などをはじめとする脅威について、トレンドマイクロ株式会社が同社公式ブログで解説を行った。攻撃は世界中で増加傾向にあるが、その背景としてCOVID-19に関連した不正サイトの販売が行われていることを挙げている。

　不正サイトの中でもフィッシングサイトが最も多く、世界保健機関（WHO）や米国疾病予防管理センター（CDC）、英国の政府機関など、公的機関を偽装するフィッシングサイトが確認されている。これらのフィッシングサイトでは、電話番号、メールアドレス、パスワード、クレジットカード情報の入力を要求していた。

　また、PCに感染するマルウェアやAndriod向けの不正アプリに感染させる不正サイトも確認されている。

WHOを偽装したCOVID-19便乗フィッシングサイトの例。電話番号、メールアドレス、パスワードの入力を要求

CDCを偽装したCOVID-19便乗フィッシングサイトの例。会社のメールアドレス、パスワードの入力を要求

英国の政府機関を偽装したCOVID-19便乗フィッシングサイトの例。郵便番号を入力させた後、その地域の市議会の名前を表示しクレジットカード情報の入力を要求

COVID-19の拡散状況を示すトラッキングサイトを偽装する不正サイトの例。情報窃取型マルウェアに感染させる

「あなたにCOVID-19を感染させる」という脅迫メールでビットコインを要求

　このほか、募金や寄付を呼び掛ける詐欺メールも確認された。「COVID19Fund」を名乗り、ビットコインでの寄付を集める内容で「世界保健機関（WHO）への寄付は税制上の優位が得られないが、こちらは税金での控除が受けられる」という旨の内容が含まれていた。

　また、「あなたにCOVID-19を感染させる」と脅迫し、ビットコインを要求するメールも確認されている。メール受信者の性的な写真や動画をばらまくなどと脅迫して金銭を要求する「セクストーション詐欺」に使われるメールの内容を改変したような特徴が見られたという。

「COVID-19に感染させる」と脅迫する内容の詐欺メール

ロシアのアンダーグラウンドフォーラム上で不正サイトの販売

　このようなCOVID-19に便乗する攻撃が増加している背景の１つとして、トレンドマイクロはCOVID-19に関連した不正サイトの販売が行われていることを挙げている。

　ロシアのアンダーグラウンドフォーラム上で、COVID-19関連の不正サイトを販売するとうたう書き込みが行われていることを確認している。専用コンテンツの作成で200ドル、コード署名証明書を付けるとさらに700ドルの追加で販売するといった内容が書き込まれていた。

　この書き込みの真偽は確認できていないが、書き込みに含まれる画像はCOVID-19の拡散状況を示すトラッキングサイトを偽装する不正サイトにも似ており、同デザインの不正サイトを簡単に作成するためのツールが存在する可能性があるとみている。

COVID-19関連の不正サイトの販売をうたう書き込みの例。ロシアのアンダーグラウンドフォーラムで確認された

不正サイトへの誘導は3月だけで3万4197件、2月から3.6倍と急増

　トレンドマイクロのクラウド型セキュリティ技術基盤「Smart Protection Network（SPN）」の統計によれば、攻撃経路は、メール、ウェブサイト、ファイル（マルウェア）経由の3つになるという。2020年1月～3月の統計では、ウェブサイト経由の攻撃として全世界から4万7000人（このうち13.8％が日本からのアクセス）を超える利用者が、URLに「covid」「covid-19」「ncov」「coronavirus」などを含む、COVID-19関連の不正サイトに誘導されていた。月別推移では、1月の3916件、2月の9497件から、3月には3万4197件へ急増。2月からは3.6倍の増加だった。

　また、ファイル名に「covid」「covid-19」「ncov」「coronavirus」を含む、マルウェアの検出数が3月は534件、2月は67件、1月は136件だった。これらの多くはトロイの木馬で、数種のランサムウェアが含まれていた。

不正サイトへ誘導され利用者数の推移