新型コロナウイルスに乗じたサイバー攻撃が世界で拡大している。マクロやPowerShellを悪用する新種のマルウエアが急増。コロナに関連したメールに添付して送りつけ、感染を狙う。
「新型コロナウイルス感染症(COVID-19)をキーワードに悪用したマルウエアが世界でまん延している」(マカフィーの桜井秀光セールスエンジニアリング本部本部長)――。マカフィーは2020年8月、米マカフィーが作成した「McAfee COVID-19 脅威レポート:2020年7月」に関する説明会を開き、新型コロナに便乗したサイバー攻撃の拡大に警鐘を鳴らした。コロナ禍に乗じたフィッシング攻撃や偽Webサイト、トロイの木馬などが急増しているという。
米マカフィーが2020年第1四半期(1~3月)に確認した新型コロナ関連のマルウエアには「Ursnif」「Fareit」「Emotet」「TrickBot」などがある。いずれもメールに添付されたマルウエアを受信者が誤って実行するとパソコンなどに感染する。ファイル名などに「COVID-19」を使うのが特徴だ。
例えばバンキングマルウエアの一種であるUrsnifに関するある攻撃では、メールにパンデミックをテーマにした英語のメッセージが書かれていたという。さらに「COVID-19」を含むファイル名を付けたMicrosoft Officeファイルが添付されていた。
2019年から再び流行の兆しを見せているEmotetについては、「新型コロナウイルスの抗体と新たな治療法の情報を提供する」との旨を記したメールに添付されていたケースがあった。
マクロやPowerShellを悪用
米マカフィーは2020年第1四半期に、マクロを悪用する新種のマルウエアを世界で約170万種見つけた。前四半期(2019年10~12月)比で約5倍になった。
さらに急激な勢いで増えているのが、Windows OSの標準コマンドラインツール「PowerShell」を悪用するマルウエアだ。米マカフィーが2020年第1四半期に世界で新たに検知した、PowerShellを悪用するマルウエアは約155万種。前四半期の8倍近くに増えたという。
急増の理由について桜井本部長は「PowerShellを悪用するマルウエアは簡単につくれる。しかも(標準ツールを悪用するなどの理由で)ウイルス対策ソフトに検知されにくいからではないか」と分析する。
PowerShellはWindowsのほぼ全ての機能を実行できる。PowerShellを悪用するマルウエアの危険性は高い。一方、JavaScriptを悪用するマルウエアについては、新たに検知したのは約313万種と数こそ多いが、前四半期から約37%減ったという。
サイバー攻撃者は「つい開きたくなる」話題でメール攻撃を仕掛けてくる。メールアドレスが大量に流出する時代でもあり、常に自社や自分も狙われているとの警戒心と、万が一開封した際の素早い報告と回復が一段と欠かせなくなっている。
