観光業を狙う、予約客を装ったメールによるサイバー攻撃に、ラックが注意喚起

　株式会社ラックは、2023年夏ごろから観光業を狙ったサイバー攻撃が増加しているとして、手口や対策について情報を公開し、注意喚起を行った。

　公開されている手口は、ホテルに、予約客を装ったメールを送付するもの。同社では、コロナ禍から回復中の観光業を標的とし、従業者のホスピタリティを逆手に取ったものであるとしている。

　攻撃メールの例として、以下の文章が紹介されている。これはホテルの予約窓口に実際に送られた英文のメッセージを翻訳し、要約したもので、同社のサイバー救急センターでは、ほかにもいくつかのバリエーションを把握しているという。

ホテル予約担当者様
先日、宿泊の予約をさせていただいた者です。娘の誕生日のため、素敵な休暇を過ごすことを楽しみにしております。娘は特定の果物や野菜、そして特定の美容製品にアレルギーがありますので、その点にご配慮いただけますと幸いです。アレルギー情報や特別な要望に関する詳細をまとめましたので、以下のURLよりダウンロードしご確認お願い申し上げます。

コロナ禍から回復中の観光業を標的としたサイバー脅威に対する注意喚起（LAC WATCH）より

　メールに記載されたURLは、圧縮ファイルへのリンクとなっており、そのファイルをダウンロードして解凍すると、無害な写真や動画などに混じって、実行形式のマルウェアのファイルがある。これを実行し、端末がマルウェアに感染してしまうと、ウェブブラウザーに保存されている認証情報などが送信され、攻撃者の手にわたってしまう。

写真に混じり、マルウェアのファイルが入っている例。右から2つ目の「.pdf.exe」はPDFファイルを装った実行ファイルのマルウェアとみられる

情報窃取までの一連の流れ

　その後、攻撃者は手に入れた認証情報を使って宿泊予約サイトにアクセスし、その宿泊施設の実際の予約者に対して、フィッシングサイトに誘導するメッセージを送る。だまされた予約者がフィッシングサイトでクレジットカード情報を入力してしまったケースもあったという。

　ラックでは、このような攻撃を行う攻撃者集団の素性については分からないが、窃取したクレジットカード情報を売買するなどの方法で金銭を得ることを目的にしているのではないかとしている。

　同社では、このような手口による被害への対策も紹介している。顧客への対応にあたる従業員のリテラシー向上策としては、安易に「マクロを有効にする」「コンテンツの有効化」などのボタンを押さないこと、PCでファイル名の拡張子の表示を有効にし、二重拡張子（「.pdf.exe」のように、ファイル名に複数の拡張子が付けられているファイル）に注意すること、メール内のリンクからダウンロードされたファイルのサイズが数百MBから数GBと大きすぎる場合は不審なので注意すること、を挙げている。

　システム部門などを中心に必ずやっておきたい対策として、WindowsやOffice製品などのソフトウェアを常に最新の状態にすること、ウイルス対策ソフトを導入してパターンファイルを常に最新の状態に保つことのほか、資産管理ソフトウェアやMDM（Mobile Device Management）などの製品を導入し、社内のIT資産の状態を把握できるようにすることを挙げている。また、システム部門が考慮すべきこととして、EDR製品の導入や、予約管理サイトの管理アカウントへの他要素認証の導入などを挙げている。