ブログ(脅威調査)

新型コロナウイルス感染症(COVID-19)によりサイバー脅威トレンドが限定的に転換

新型コロナウイルス感染症(COVID-19)は社会経済に大きな影響を与えてきましたが、サイバー脅威トレンドへの影響はまだ限られています。私たちが常に追跡している同じ攻撃者はほとんど、COVID-19による危機が発生する前と同じように振る舞っています。新しい課題はいくつかありますが、それらは検知可能であり、FireEyeとFireEyeのお客様は、この前例のない変化の中であっても防御体制は整っています。

現在追跡中の脅威トレンドには、次のような顕著な変化が見られます。

  • 在宅勤務する従業員が急激に増加したことにより、企業ネットワークの性質と脆弱性が変化した。
  • 攻撃グループは現在、ソーシャル・エンジニアリングの策略において、COVID-19と関連の話題を活用している。
  • FireEyeは、危機に関するインテリジェンス情報を集めようとするサイバーエスピオナージ攻撃グループによる収集が増加すると予測。
  • 医療業務、関連の製造業、物流、および行政機関、ならびにこの危機に対応する行政機関はますます重要になり、ランサムウェアのような破壊的な攻撃に対して脆弱になっている。
  • 情報を操作する攻撃者は、国内または海外に近い視聴者を中心に活動を促進するため、危機に付け込んできた。

同じ攻撃者、新しいコンテンツ

危機より前に観察していたのと同じ攻撃グループとマルウェア・ファミリーは、多数の同じツールを使用して、危機以前と同じ標的を主に攻撃しています。彼らは現在、ソーシャル・エンジニアリングの手段として、この危機を単純に利用しているだけで、この行動パターンはよく知られています。攻撃グループは、ユーザーの気を引く大規模なイベントや危機をいつも利用してきました。現在このアプローチを使っている多くの攻撃者たちは何年も追跡されてきました。

最終的に、COVID-19はソーシャル・エンジニアリング・アプローチで広く採用されています。なぜなら、COVID-19は広範囲に広がり、包括的な訴求力があり、この話題についての情報は切望されていて、本来なら慎重になっていたかもしれないユーザーに行動を起こすよう促す話題だからです。FireEyeの調査で、さまざまなサイバー犯罪者やサイバーエスピオナージ活動の攻撃者がCOVID-19の話題を使っていることがわかりました。また、地下コミュニティでは、一部の攻撃者がコロナウイルスのパンデミックを悪用した効果的なソーシャル・エンジニアリングを可能にするためのツールを作っています。それにもかかわらず、COVID-19のコンテンツは不正なEメールの2%で使われているのみです。

当分の間、FireEyeはこのソーシャル・エンジニアリングが扇動されるとは考えていません。実際のところ、政策、経済、その他の不測の結果における変化として、多くの形態をとる可能性があります。例えば、最近、ソーシャル・エンジニアリングに関連する要因の急増が予測されました。加えて、FBIはCOVID-19関連のビジネスEメール詐欺(BEC)の増加を予測してプレスリリースを発表しました。

国家支援の攻撃者が非常に活発

当面、COVID-19が世界各国の政府の圧倒的な懸念であることを考えると、当然ながらFireEyeは、サイバーエスピオナージ活動の攻撃者が政府、医療、バイオテクノロジー、他の分野を標的にすると予測しました。COVID‐19関連情報を標的とするサイバーエスピオナージ活動のインシデントはまだ観察されていませんが、これらの攻撃者がどの情報を標的としているかを判別することは非常に難しいです。個別に確認していないケースが少なくとも1件は公開されています。

ロシア、中国、北朝鮮などの国家支援の攻撃者がCOVID-19関連のソーシャル・エンジニアリングを活用していることを観察しましたが、この話題には幅広い関心が寄せられるため、COVID-19関連情報の標的設定を示しているとは限りません。

医療業界への脅威

医療業界への脅威が突然、急激に高まっていると考える理由はありません。これらのシステムの重要性は、おそらくそれほど大きくはなかったためですが、今回の危機を通じてこの分野へのリスクは上昇します。安全かつタイムリーなケアを提供する組織の能力に影響を及ぼす可能性があるため、破壊の脅威は特に混乱を生じます。この脅威は病院だけでなく、重要なサポートを提供する製造業、行政、および物流の組織にまで及びます。その上、多くの重大な公共医療機関は地方に存在します。

一部のランサムウェア攻撃者が医療機関を標的から外していることを示唆する事例証拠はいくつかありますが、すべての攻撃者がこの制限を実践することは考えられません。さらに、ランサムウェア攻撃者の主要な標的である地方自治体への攻撃は、対応や予防の対策に混乱をもたらす可能性があります。

在宅勤務

多くの従業員が在宅勤務へと、突然かつ予期しない転換をすることになり、これは攻撃グループのチャンスとなるでしょう。組織にとっては、十分な生産量を確保するとともに、セキュリティ制御とポリシーが実施されるように、迅速に移行することが課題となります。混乱した状況では、モラルが低下しストレスが増大する可能性があります。ユーザーに疑わしいメッセージを開かせるなど、有害な振る舞いを引き起こし、内部の脅威のリスクを増大させることさえできます。従業員が仕事と生活のワークライフバランスに苦労し、自宅で働いているという注意散漫により、疑わしいコンテンツの精査と回避に対する注意力が低下する可能性があります。さらに、プラットフォームの急速な採用は、間違いなくセキュリティ上のミスにつながり、攻撃グループの注目を集めることになります。

セキュアなリモート・アクセスは、機密データの流出を制限するため、VPNの使用とユーザー・アクセス権限と認証手順に依存する可能性があります。ハードウェアおよびインフラの保護には、企業の機器での完全なディスク暗号化の確保、エンドポイント・セキュリティ・ツールによる機器の可視性の維持、定期的なソフトウェア・アップデートの維持などが含まれます。

この問題の詳細については、リモート接続に関連するリスクに関するブログ記事をご覧ください。

情報操作の脅威

FireEyeは、情報操作の攻撃者がCOVID-19に関連する活動を推進し、主に国内または海外に近い視聴者を操作するのを観察してきました。中国語ネットワークのアカウントでは、中華人民共和国(PRC)の支援の下で操作されていることが確認され、そのうちのいくつかは、以前、香港の反対運動に関連したメッセージ送信を促進していることを特定しました。それは矛先が変わってきており、COVID-19アウトブレイクに対応するPRCの対応を評価し、香港の医療従事者とパンデミックに対する米国への対応を非難し、米国が武漢でのコロナウイルスのアウトブレイクの原因となっているという陰謀説を極秘に促進することに注力しています。

加えて、ロシア語とウクライナ語を話す人たちを対象とした、COVID-19関連の活動を推進する複数の情報操作を特定しました。その中には、FireEyeが強い確信を持って評価した、拡大する「Secondary Infektion」と呼ばれるロシアの干渉工作(Influence Campaign)と見られるものと、他のロシアの活動の疑いのあるものの一部が含まれます。これらの活動には、偽のハクティビスト・ペルソナを利用しているものが含まれます。たとえば、米国が中央アジアの武器研究所でコロナウイルスを開発したという陰謀説を広めること、ウクライナでの物理的な反政府運動を利用して、武漢から送られてくるウクライナ人がウクライナの住民に広く感染させるという話を配信することや、ウクライナの医療システムはパンデミックへの対応に適さないと主張することなどです。ほかの情報操作では、リトアニアやウクライナなどさまざまな国でコロナウイルスのアウトブレイクが発生した原因は米国や米軍によるものとされたり、今後予定されている多国間軍事演習が計画通り継続された場合には、米軍人がパンデミックの拡大に寄与すると主張されたりすることもありました。

今後の展望

攻撃者は明らかに、私たちがこのような圧倒的な出来事に振り回されることを期待しています。COVID-19がもたらすサイバーセキュリティの最大の課題は、最も重要な脅威に継続して注力することができる能力と言えるでしょう。危機そのものによって制限されたリソースを効率的に利用するためには、パンデミックに関するサイバーセキュリティの意味を正当に評価することが必要になります。

防御の強化に役立つ情報やリソースについては、FireEyeのWebサイト「直面する変化と危機に、立ち向かうために」をご覧ください。COVID-19関連のセキュリティ上の課題に対処しようとしている組織を支援するために、多くのリソースを集約しています。

 

本ブログは、米FireEyeが公開した April 08, 2020「Limited Shifts in the Cyber Threat Landscape Driven by COVID-19」(英語)の日本語抄訳版です。

日本語版:Reviewed by Toru Tanimura