ランサムウェア入りUSBメモリを送りつける詐欺が増加中
情報セキュリティ上のUSBメモリのリスクは以前から喚起されており、最近では不用意な利用はかなり減ってきているように見えます。しかし、PCの間で極めて手軽にデータをやりとりできるその利便性の高さはやはり魅力的で、代わりになるようなデバイスも存在しない為、依然として広く使われています。
昨今ではランサムウェア入りのUSBメモリを企業に郵送し、受け取った企業がUSBメモリを接続するとネットワーク上にランサムウェアがインストールされる攻撃が流行っています。*1
本記事ではこれらの攻撃の手口と対応策について紹介します。
1.ランサムウェア入りのUSBメモリを使った攻撃手口とは
問題のUSBメモリは米国の郵便公社等を経由し送付されることが多く、USBメモリに新型コロナウイルスに関する情報が記録されていると記された米保険福祉省を装った送付状が同封されています。また、家電量販店やAmazonなどの企業組織を騙るケースも確認されておりギフトカードとUSBメモリが入った小包が送り付けられてくるそうです。
送られてきたUSBメモリをPCに接続すると「キーボード」として認識され、事前に設定されたランサムウェアをダウンロード、およびインストールするキー入力を自動で実行します。*1被害を受けるのはUSBメモリを接続したPCのみにとどまらず、ネットワーク上をラテラルムーブメント(水平移動)し他のPCにも攻撃を与えることが確認されています。*2
2.対応策
以下対応策を講じて感染のリスクを軽減させましょう。
- 会社で許可されたUSBメモリのみを使用する
拾得あるいは貸し借りしたUSBメモリを不用意に使用するとマルウェア等に感染するリスクがあります。
- USBメモリに対して定期的にウイルススキャンを実行する
USBメモリが感染していないことや潜在的なウィルスが潜んでいないかを定期的に確認することで安全に利用できます。
- 自動実行(オートラン)機能の無効化
USBメモリ等を介したマルウェア感染の要因の一つとして、Windowsパソコンの「自動実行」機能が挙げられます。この機能を無効にすることで、マルウェア感染の危険を軽減することができます。
3.まとめ
近年では働き方改革の為にPCを社外に持ち出しテレワーク環境で仕事を行うケースが増えてきました。自宅などで不用意に私物のUSBメモリなどを利用したがためにPCが感染してしまうことも考えられます。今一度リムーバブルデバイスの管理、用途を明確にすることが大切です。
人気サービスを経由のマルウェア感染が急増!その攻撃手法とは?
2022年に入ってまだ1ヶ月も経っていないところですが、既にマルウェア感染が増えてきています。本記事では、感染が急増している「Googleドキュメント」のコメント機能を悪用したマルウェア攻撃と「Discord」「OneDrive」サービスを悪用したマルウェア攻撃についてご紹介します。
1.「Googleドキュメント」のコメント機能を悪用した攻撃手法*3*4
- 攻撃手法
Googleドキュメントの文書に対してコメントを追加することで、フィッシングやマルウェア配布などの攻撃に悪用することが可能です。コメント内に「@」マークを使用してメンションするだけで標的の受信トレイに電子メールが自動的に送信されます。この送信された電子メール内には悪意のあるリンクが含まれています。また、電子メールアドレスの代わりに攻撃者の名前のみが表示されるため、なりすましが容易になっているとサイバーセキュリティ企業AvananのFuchs氏が述べました。
- 誘導方法
社内のプロジェクトメンバーからの資料共有を装うなどが考えられます。
- ターゲット
主にOutlookユーザですが、他のユーザ(Gmailユーザなど)にもリスクがあります。
2.「Discord*」「OneDrive」経由でマルウェアに感染するケースが急増*5*6
- 攻撃手法
マルウェアを仕込んだファイルを「Discord」「OneDrive」にアップロードし、生成されたURLからファイルをユーザにダウンロードさせ、マルウェアに感染させます。URLhaus(悪意のあるURL情報のデータベース)に報告されたURLをもとに分類したところ、「Discord」経由のマルウェアに関しては、オンラインバンクなどの認証情報を窃取する「Dridex」が90%を占めておりました。
「OneDrive」経由のマルウェアに関しては、主に情報窃取型マルウェア「BazarLoader」が報告されています
- 誘導方法
「Discord」:人気ドラマの続編を先取りして観られるなどといってスパムメールで誘い、添付ファイルを開かせようとします。
「OneDrive」:メールに悪性ファイルのダウンロードURLをクリックさせようとします。
- ターゲット
「Discord」ユーザと「OneDrive」ユーザです。
3.まとめ
本記事では今月急増したマルウェア攻撃についてご紹介しました。「Googleドキュメント」のコメント機能を悪用したマルウェア攻撃では、送信された電子メールがGoogleドキュメントの電子メール機能によってGoogleから直接送信されてくるため、何らかのツールによってこの攻撃を抑止するのは難しいとFuchs氏が指摘しています。*3
Googleドキュメントのコメント経由で送られる通知には十分に注意しましょう。
また、「Discord」「OneDrive」サービスを悪用したマルウェア攻撃の対応策に関しては、セキュリティ製品導入の他、ビジネスで使わないサービスをURLフィルタリングしてアクセスさせない、メール本文内に記載されているURLを不用意にクリックしない等の対策を取ることが求められます。
*「Discord」はゲームプレイヤー向けのチャットサービス。
脚注(参考文献一覧)
- Gigazine|ランサムウェア入りUSBメモリを送りつける詐欺が増加中、データを暗号化して使用不能にし元に戻すための身代金を要求する手口(参照日:2022-01-25)
- Yahoo!ニュース|USBメモリーを標的に送りつけて攻撃--挿入されたPCにランサムウェアをインストール(参照日:2022-01-25)
- ZDNet Japan|「Googleドキュメント」のコメント機能を用いた攻撃手法--Avananが注意喚起(参照日:2022-01-25)
- Avanan|Google Docs Comment Exploit Allows for Distribution of Phishing and Malware(参照日:2022-01-25)
- ITmediaビジネスONLiNE|マルウェア感染経路で「Discord」「OneDrive」突出――セキュリティ会社が警鐘(参照日:2022-01-25)
- Digital PR Platform|マルウェアに悪用されるファイル共有サービスに要注意(参照日:2022-01-25)
