脅威リサーチ

大胆なEメール詐欺で時局に乗じる脅威アクター

投稿者 Shunichi Imano および Val Saengphaibul | 2022年4月19日

この記事は、Fred Gutierrez並びにGeri Revayの協力により作成されました。

FortiGuard Labs Research

影響を受けるプラットフォーム: Windows
影響を受けるユーザー:     Windowsユーザー
影響:             侵害されたマシンが脅威アクターの制御下に置かれる。個人情報(PII)や認証情報の窃取、金銭的被害など。
深刻度:            

悪意あるEメールやフィッシング詐欺は、多くの場合、今日的な関心事に着目し、時局に応じて計画されます。これらの詐欺は通常、カレンダーや注目を集めている問題に基づいて画策されます。被害者はその時々に関連した事柄に興味を抱くということを、攻撃者は知っているのです。脅威アクターは、全員ではないものの一部の人が餌に食いつくことを知っています。「フィッシング」という言葉の由来はここにあります。

脅威アクターの多くは数千人の標的にフィッシングメールを送信し、最小限の労力で最大限の利益を得ようとします。たとえ被害者の1%以下でも応答すれば、個人情報(PII)を入手したり、盗んだ認証情報やマルウェアその他の手段を使って組織内に足がかりを作ることができるため、大きな見返りが得られます。

このブログでは、これまでに発生したいくつかの事例を紹介します。疑わしいEメールを見分けるためにお役立てください。FortiGuard Labsが確認した最近の事例には、納税シーズンやウクライナ紛争に関連したEメールが含まれていました。これは本ブログ執筆時点において、それらの出来事が時期的に最新かつニュース性が高いことを表しています。

納税シーズンの詐欺

季節ごとのイベントや祝日と同様に、納税シーズンは毎年やってきます。時期が特定されているイベントを攻撃対象にすることで、脅威アクターは事前に準備を整え、シーズンごとに新しい標的を選ぶことができるのです。

IRS / 税金関連の詐欺に関する2件の事例を紹介します。最初の事例は、米国内国歳入庁(IRS)を装った悪意あるEメールで、マルウェア(Emotet)の配信を目的に偽装したMicrosoft Excelファイルが含まれていました。2つ目の事例はフィッシング詐欺で、書面のやり取りを通じて、ある電話番号に個人情報(PII)を送信するよう求めるものでした。

IRS関連のEメールによるEmotetの送付

この攻撃では、「W-9 form.zip」というZIPファイルを添付されたIRSに偽装したEメールを攻撃対象に送信するところから始まります。このEメールには、すぐにファイルを解凍できるよう、メールの本文にはパスワードが記載されています。添付されたZIPファイルには、「W-9 form.XLM」というファイルが格納されています。拡張子XLMは、Excel 4.0マクロが含まれるExcelファイルです。

図1:悪意あるファイルが添付された偽装IRSメール

フォームW-9(納税者番号および証明の依頼書)とは、米国在住者が正しい納税者番号(TIN)を支払人(または仲介人)に通知するための書類です。支払人は、IRSに支払調書を提出することが義務付けられています。これがフィッシング詐欺であることを示す危険信号は、署名欄の「assistant」に大文字が使用されていないことと、「Treasury」(財務省)ではなく「Treasure」(財産)となっていることです。さらに、IRSが米国の納税者にEメールで連絡をすることはなく、すべての通信に従来の郵便サービスを使用していることも注意すべき点です。

分析結果

このEメールを検証したところ、最近のブログで紹介したEmotetと同様に、ユーザーがXLMファイルを開こうとすると、マクロを有効にするよう求められることがわかりました。

このXLMファイルには、次のように難読化されたExcel 4.0マクロが含まれています。

図2:Excel 4.0マクロのスクリーンショット

この文書には非表示の5つのシート、「Vfrbuk1」、「Sheet」、「Lefasbor1」、「EFALGV」、「Je1」、「Je2」が含まれています。EFALGVシートには、他のシートを使ってコマンドをコンパイルするメインコードが含まれています。ユーザーの操作は必要なく、複数のリモートロケーションから自動的にEmotetがダウンロードされます。

図3:非表示のシート

我々が検証した別のEメールは、米国の州検事総長のオフィスに送信されていました。このEメールでは、「From(送信元)」アドレスをはっきりと確認できます。Eメールは日本にある自動車タイヤショップから送信されていました。おそらくこの店は侵害され、オープンなメールリレーに利用されていると思われます。

図4:同じ詐欺の変化形

Microsoftの対策

Microsoftは2022年1月、ExcelのBuild 16.0.14427.10000以降はExcel 4.0マクロをデフォルトで無効化すると発表しました。この機能は以前から脅威アクターに悪用されていたため、この措置は当然のこととして受け止められました。ほかにもMicrosoftからの良いニュースがあります。2022年4月から、VBAマクロ(これもEmotetに悪用されています)を無効化することで、Access、Excel、PowerPoint、Visio、Wordでのマクロの使用を制限するということです。しかしながら上記の例でも分かる通り、攻撃者がまだExcel 4.0のマクロを悪用することを少しもためらっていないことがわかります。

さらに、管理者はグループポリシー、クラウド、およびADMXポリシーを設定して、Excel 4.0マクロの使用を制御することもできます。この機能は2021年7月に導入されました。詳細については、Microsoftの技術コミュニティページ「Restrict usage of Excel 4.0 (XLM) macros with new macro settings control」(新しいマクロ設定によるExcel 4.0(XLM)マクロの利用制限)をご覧ください。

注意すべき点は、上記の被害者は意図的に標的にされたわけではないということです。Emotetは、業界で「spray and pray」(ばらまき型)と呼ばれる戦術を使用しており、悪意あるEメールを介して拡散します。過去にはEmotetが他のマルウェアの亜種を配信したことも判明しています。そのうち最も破壊力が大きいものはランサムウェアでした。一部のRansomware as a Service(RaaS:サービスとしてのランサムウェア)グループは、政府機関、防衛産業、その他の重要なインフラストラクチャ(病院など)にはランサムウェアを送信しないという明確なポリシーを設けています。しかし多くの場合、実際の攻撃を実行するのは、RaaSグループが設定したポリシーを遵守するかどうか分からないRaaSアフィリエイトです。

W-8フォームの記入とファックス番号への送信を要求

最近確認されたもう一つの詐欺は、「NEW YEAR-NON-RESIDENT ALIEN TAX EXEMPTION UPDATE」(新年度非居住者入国税免除の更新)という件名のEメールです。このメールには「W8-ENFORM.PDF」というファイルが添付されています。このPDFファイル自体は悪意あるものではなく、IRS W-8フォームのコピーです。単なるIRSのW-8フォームですが、犯罪者によってこの書類の最後にある番号が付記されています。

本文に見られる文法の間違い、誤字、句読点などがこのEメールの危険性を示しています。

図5:W-8を利用した税金詐欺

この詐欺は「正式」な記録開示に基づいて、言葉巧みなソーシャルエンジニアリングを使って米国の非居住外国人を標的にしています。ただし、奇妙な間違いも見られ、次のような矛盾する記述があります。

 「if you are a USA citizen and resident, this W8BEN-FORM is not meant for you…」
(あなたが米国市民かつ米国居住者である場合は、このW8BENフォームを使用しないでください。)

続いてEメールには、返信方法や、添付されたフォームに受信者が米国市民 / 居住者であることを明記する方法が記されています。この手順が完了すると、脅威アクターは別の記入フォームを提示します。

図6:W-8フォーム

図7:電話番号が付記されたW8フォーム

フォームへの記入が済むと、そこに記載されたすべての個人情報は806の電話番号に送信されるようです。806はテキサス州の市外局番です。本ブログ執筆時点では、この番号で実際のファックスサービスを利用できます。このサービスがインターネットベースであることはほぼ確実で、世界中のどこにいてもコンテンツを受信し、添付ファイルとして脅威アクターに送信することができます。返信者が多数の場合は、OCR(光学式文字認識)の画像技術を使用して、被害者のデータを後から利用できるようデータベースに保存しておくことができます。

このケースでも、IRSがEメールでの公的な連絡を行っていない点に気づくことが重要です。正式なW-9フォームはIRSのWebページで入手できます。正式なW-8フォームはこちらで検索できます。

難民紛争詐欺

時事的な関心事(スポーツや納税シーズン)などを利用するスパムの一般的な手法では、金銭でクリックを誘い、人間本来の欲につけ込み(税還付、無料でもらえるお金)、すぐに行動させるため時間を制限して心理的に追い詰めます。

以下の事例では、3つの手法がすべて使用されています。ただし、その方法は非常に特異で、「URGENT RESPONSE REQUIRED! (UKRAINE)」(至急対応を求む!(ウクライナ))という件名で他者への送金を必死に嘆願するというものです。

Eメールに悪意ある添付ファイルやリンクは含まれていませんが、詐欺師は返信を要請しています。この攻撃のやりとりにはおそらく、さらに情報を得るためのフォローアップメッセージも含まれてきます。脅威アクターが被害者と対話し、電信、サードパーティの支払いプロセス(Venmo、Zelleなど)、あるいは暗号通貨などでの送金を依頼する可能性あります。送信者のEメールアドレスにはgmail.comが使用されており、これはスパムフィルターを回避するためと思われます。

図8:Eメールのスクリーンショット

ビットコインの変化形

次のスクリーンショットは、不届きな便乗詐欺のEメールで、「URGENT DONATION RESPONSE FOR WAR REFUGEE CAMP IN UKRAINE」(ウクライナの戦争難民キャンプに緊急支援を)という件名が付けられています。このメールは信頼できる組織、すなわち国連からの通信を装っています。危険信号は、「From(送信元)」の「info@seca[.]cam」が国連高等弁務官事務所の偽のメールアドレスであることと、文法や句読点に間違いがあることです。さらに、seca[.]camドメインが数週間前(2022年2月23日)に登録されたばかりであることも、危険を示す証拠です。

図9:ビットコインを要求する難民詐欺

ビットコインウォレットのアドレスを確認すると、これが2021年9月29日に取引を開始した有効なウォレットであることがわかります。この詐欺が最初に発見された3月7日以降に、このウォレットで複数のトランザクションが実行されています。本ブログ執筆時点で、このウォレットの残高は46.82ドル、トランザクションの総額は712.79ドルです。このウォレットが不正な目的で使用されていたとすると、脅威アクターはさまざまな詐欺行為によって少額の利益を得ていたと思われます。ただし、詐欺師のウォレットはこれだけではない可能性もあります。IRSの場合と同様に、国連が寄付を募るために一方的なEメールを送信することはありません。詳細についてはU.N. Fraud Alertページをご覧ください。

図10:ビットコインウォレットの詳細

結論

Emotetとウクライナでの戦争

ウクライナの悲惨な状況が伝えられる中、ランサムウェアグループ内部での対立が明らかになってきました。ロシアに同調するランサムウェアグループもあれば、西側を支持するグループもあります。ある有名なRaaSグループ(Emotetを使用していた)は、明白な理由により公表しませんが、ロシアに向けられたすべての攻撃に対して西側諸国は報復を受けることになるだろう、という非常に強い声明を出しました。

情勢は流動的で、まさに今この瞬間に、金銭的または政治的な理由で侵害された政府機関がランサムウェアに感染したり攻撃されたりしているかもしれず、この脅しが論外であるとは言い切れません。重要な点は、もはや政府機関のような重要部門も攻撃(特にEmotet脅威アクターからの攻撃)の対象外ではなく、そこに偏った思想や意見の違いは関係していないということです。

フィッシング詐欺は影を潜めているわけではありません。フィッシング詐欺は脅威の構図に組み込まれており、攻撃者の武器の一つとして常に利用される可能性があります。なぜなら、フィッシング攻撃は投資利益率が非常に高いからです。巧みな表現で、添付ファイルを開く、リンクをたどる、部外秘や機密情報を返送するといった行為にユーザーを誘導するEメールは、常に一定割合の標的に効果を発揮します。その原因は、セキュリティソフトウェアが対処できない大きな弱点、すなわち人的要素にあります。

トレーニングプログラムがユーザーに対して、悪意あるEメール / フィッシング / スピアフィッシング詐欺への注意を絶えず喚起し、それらを阻止する方法を通知するのにはそれなりの理由があります。数千人の標的のうちわずか数人が応答するだけで、攻撃者にとっては非常に大きな価値があります。狙い通りの人物が罠にはまれば、貴重な情報が攻撃者の手に渡り、さまざまな目的に悪用されます。このような詐欺は一般によく知られ公表もされていますが、今も広範囲に行われています。そこには、この詐欺が成功を収めており、当面の間は成功し続けるという純然たる現実があります。

考慮すべきポイント

  1. 正当な理由によりデフォルトで無効化されているマクロを有効にする場合、特にXLMファイルの納税申告書などでは、十分に考慮したうえで行いましょう。
  2. IRSが相手の同意を事前に得ることなく、文書(添付ファイルを含む)をEメールで送信することはありません。IRSを装って送信される一方的なEメールはすべて無視してください
  3. IRSは、FAQと詐欺を報告するための専用WebページReport Phishing | Internal Revenue Service (irs.gov)を用意しています(注:このブログで紹介した詐欺については、掲載前にIRSに報告済みです)。
  4. 寄付を募るために、国連が一方的なEメールを送信することもありません。国連のWebサイトでは、「国際連合は、上記のような要請を受け取った方々が、それらの要請に対して十分に警戒することを強く推奨します」と呼びかけています。詳細についてはU.N Fraud Alertをご覧ください。国連を装って送信される一方的なEメールはすべて無視してください。(注:このブログで紹介した詐欺については、掲載前に国連に報告済みです)。
  5. 何らかの(特に暗号通貨での)寄付を依頼する一方的なEメールは、その大義がどうであれ、危険信号です。
  6. たとえリンクや悪意ある添付ファイルが含まれていなくても、信用できない送信元からのEメールに返信すると、脅威アクターはそのメールアドレスを利用してユーザーをスパムリストに追加したり、将来の攻撃や詐欺の標的にしたりすることができます。

重要

脅威アクターは数字のゲームをしています。ごくわずかなコストで1,000通のEメールを一斉送信し、それに応じた10人から貴重なデータが得られれば、費やした労力は十分な投資利益を生みます。

フォーティネットのソリューション

フォーティネットのお客様は、FortiGuard Webフィルタリング、アンチウイルス、FortiMail、FortiClient、FortiEDR、CDR(コンテンツ無害化)サービスによってサイバー攻撃から保護されています。

Excelサンプル(Emotet)内の悪意あるマクロは、FortiGuard CDR(コンテンツ無害化)サービスによって無害化されます。

FortiEDRは、振る舞いに基づいて、悪意あるExcelファイルとEmotet関連のファイルを検知します。

このブログで紹介した攻撃に関係するすべてのURIは、FortiGuard Webフィルタリングサービスによってブロックされます。

悪意あるExcelサンプルとそれに関連するダウンロードファイルは、以下のウイルス名で検知され、Fortinetアンチウイルスサービスによってブロックされます。

“XML/Dloader.802!tr, “W32/Emotet.C!tr", “W32/Emotet.CV!tr”, and “W32/Emotet.1150!tr” are blocked by the FortiGuard AntiVirus service.

非居住者を標的にしたIRSフィッシングメールは、以下のウイルス名で検知されます。

IRS PDF/Fraud.10F1!phish

ウクライナ関連の詐欺

URGENT RESPONSE REQUIRED! (UKRAINE) 攻撃

ecres231[.]servconfig[.]com

Is classified as a spam server and is blocked by our Web Filtering client.

これはスパムサーバーとして分類され、フォーティネットのWebフィルタリングクライアントによってブロックされます。

URGENT DONATION RESPONSE FOR WAR REFUGEE CAMP IN UKRAINE 攻撃

seca[.]cam

これはスパム送信元として分類され、Webフィルタリングクライアントによってブロックされます。

フォーティネットは、ユーザーがフィッシングの脅威を理解し検知するためのトレーニングに役立つさまざまなソリューションを用意しています。

FortiPhishフィッシングシミュレーションサービスでは、実際の攻撃をシミュレーションして、フィッシングの脅威に対するユーザーの認識や備えをテストするほか、トレーニングでユーザーがフィッシング攻撃の標的にされた場合の適切な対処を学び強化します。

これらの保護に加えて、無償のNSEトレーニングNSE 1 – 情報セキュリティ意識をエンドユーザーが受講することを推奨します。このトレーニングには、インターネットの脅威に関するモジュールが含まれ、エンドユーザーが様々なフィッシング攻撃を識別して防御する方法を学習できるようになっています。

IOC(Indicators of Compromise:侵害指標)

URLs (Emotet)

hxxp://piajimenez.com/Fox-C/dS4nv3spYd0DZsnwLqov/
hxxps://getlivetext.com/Pectinacea/AL5FVpjleCW/
hxxp://inopra.com/wp-includes/3zGnQGNCvIKuvrO7T/
hxxp://biomedicalpharmaegypt.com/sapbush/BKEaVq1zoyJssmUoe/
hxxp://janshabd.com/Zgye2/
hxxps://justforanime.com/stratose/PonwPXCl/

攻撃で使用されたサンプルSHA-256:(Emotet)

e5a1123894f01197d793d1fe6fa0ecc2bf6167a26ec56bab8c9db70a775ec6bc
6fa0c6858688e1c0cbc9072c9d371f2183e0bf0c30a1187453cbbe080e0167ca
06ac89a138858ed0f5eb5a30a43941b67697f8a3b47106170d879f3d51bc0e8d
9f2686b83570b7940c577013d522b96ba19e148dac33b6983267470be6a6064b
4c0ae17817c218c4b7973670f0458978efac4e6a67d1ec3abfb11ab587560d49
0758b3cde229886a039202120cda4485426c56eed3596be75fbce0d38986bf03
9a40dfc271fa3adf20e76cb6f7a27036c77adbe9882a8ef73bc977a0ea9c36ff
feec12c64c8bf47ae20dc197ac1c5f0c087c89e9a72a054ba82a20bf6266b447
50351e6d541f57fccb0261514acb43cb905e4f6dde7e8716ce1b82df7d3c4867
91795e5b49eabd94c9d8b70067f68f45f9bf56e36ec9d3529576e13569074113
8ac29489154a4c39e74070063ce71bfada00cd9883466c1e28cd1e66cab1b56c
7d4897d33893f0835a982424af2f3eb77463dad1ef96fcb4021eaf15fd28c9e9
64d3d585c41577b0cfa2f9c63035a95ac785f9b5aeefeaba2490110c84aa7d00
809c990279928640c23ecc27d134f73967c7ec7269e90bb8d916f9e35b69654f
7536ed21e14ee026424d9c07edbcecb59706129d31f6be4e8788edd904df6a20
8f05a6ee54b89de50e84fcd9db9191f3dd80c701a436ab4c81a1309b2d649368
3a1f0cfbea0de5acca77595a6a5384c31859c255defa12449861e6755b41aa20
6516d944f93186e7d422e7b93a476d4b04db0ed279ba93c4854d42387347d012
9ca7f4e809a8d381fa0bc8e02627d597add2de4c5d57632cae422c59a1e971e2