Categories: 脅威リサーチ

脅威情報ニュースレター(2022 年 4 月 14 日):確定申告にまつわる詐欺にご用心

今週も脅威情報ニュースレターをお届けします。

米国の個人所得税の申告期限である「Tax Day」が来週の月曜日に迫ってきました。この時期を無事に乗り切るには、お酒のストックを十分に確保し、電子メールのスパムフィルタをきっちり有効にしておくことが大切です。今年もインターネットのあらゆる隙間から詐欺集団がぞろぞろ現れるものと思われます。

『Talos Takes』の最新エピソードで Nick Biasini と話したのですが、攻撃者は毎年、Tax Day を利用したお決まりの詐欺攻撃を大々的に仕掛けてきます。個人情報を要求する偽の電子メールが送られてくることもあれば、偽の納税申告書が郵送されてくることもあります。指示どおりに今すぐ支払わないと国税当局(IRS)が自宅に捜索に来るという電話がかかってくることもあります。

また、今年はコロナ禍のせいでさらに油断のならない状況になっており、給付金や失業手当といった話題に便乗してお金や個人情報を盗み取ろうとする攻撃も出現しています。

残念ながら、詐欺に遭わないようにするための万全の策はありません。なぜなら、こうした詐欺はテキストメッセージ、電話、手紙、電子メールといったさまざまな手段を用いて行われるからです。どんなに性能の良いウイルス対策プログラムを導入したところで、「とても感じのいい」男の人から電話がかかってくれば高齢女性は話を信じてしまうでしょう。ですから、この時期はユーザー教育がとても重要になります。そこで、こうした税金詐欺の被害を避けるために、この時期に特に注意したいことを挙げておきたいと思います。

  • IRS が電子メールを使用して納税者に何かを知らせてくることはありません。
  • 税金未納の疑いで逮捕または国外追放される恐れがあると IRS が納税者を脅すことはありません。
  • 未納の税金がある場合は、その税金に異議を唱える権利があることを IRS が郵便物で納税者に知らせるのが一般的です。IRS が納税者への最初の連絡で税金を即刻支払うよう要求することはありません。
  • IRS が請求書を郵送する前に特定の方法で税金を支払うよう納税者に要求すること(たとえば、クレジットカード番号を提供する必要があると電話で要求すること)はありません。
  • IRS が納税者に電話をかけたり、自宅や職場を訪れたりすることはめったにありません(バーニー・マドフのような巨額の詐欺を働いていれば別ですが、そうでなければご安心を)。
  • 耳が聞こえないか聞こえにくい方は、ビデオリレーサービス(VRS)からの着信通話を一律に信頼しないようにしてください。VRS サービスでは通話の有効性は検査されていません。
  • 不明な点がある場合は、こちらに記載されている電話番号を使用して IRS に直接お問い合わせください。IRS を名乗る留守番電話やテキストメッセージが残されていても、その番号に直接かけ直さないでください。

重要な情報

3LOSH 暗号化ツールの新しいバージョンを利用した一連の攻撃がこの数か月にわたって確認されています。背後にいる攻撃者は、3LOSH を使用して難読化されたコードを生成し、さまざまなリモートアクセス型トロイの木馬(RAT)や情報窃取ツールを標的に感染させています。攻撃に関連するサンプルに含まれていた組み込みの構成を分析したところ、同じ攻撃者が AsyncRAT や LimeRAT などのさまざまなコモディティ型 RAT を配布している可能性があることが分かりました。

注意すべき理由

3LOSH 暗号化ツールは活発な開発が進められており、今後ますます強力になっていく可能性があります。エンドユーザーが RAT に感染する危険性も高くなるものと思われます。AsynchRAT はあらゆる種類の問題を引き起こす可能性があります。たとえば、標的のマシンにキーロガーを感染させたり、攻撃者がリモートで標的のマシンを監視できるようにしたりします。同様に LimeRAT も悪意のある方法で使用されます。たとえば、他のマルウェアファミリや暗号通貨マイナーをダウンロードする、Windows RDP を強制的に有効にする、ウイルス対策ツールを回避する、などです。

必要な対策

暗号化ツールを利用すればコモディティ型マルウェアであっても感染プロセスを複雑にして回避性を高めることができます。攻撃の実効性が高いことに目を付けた攻撃者が暗号化ツールを利用して攻撃を仕掛けてくる可能性があることを認識しておく必要があります。多層防御セキュリティアーキテクチャを実装して、これらの脅威に対する防御態勢を適切に維持することをぜひご検討ください。また Talos では、これらの RAT や 3LOSH 暗号化ツールが展開されないようにユーザーを保護する Snort ルールもいくつかリリースしています。

その他の注目情報

ウクライナの当局者が、ロシア政府の支援を受けた攻撃者によるウクライナの送電網を標的にしたサイバー攻撃を阻止したと述べました。この攻撃が成功していた場合、200 万人が停電被害に遭っていた可能性があります。セキュリティ専門家によると、これはロシアがウクライナに侵攻して以来、最も高度なサイバー攻撃で、今後もこのような攻撃が行われる可能性があります。2015 年と 2016 年には送電網に対する同様の攻撃が成功しています。専門家や当局者はすぐさま、Industroyer マルウェアを使用する Sandworm APT が今回の攻撃に関与したと非難しました(情報源:WiredNew York Times)。

今週の月例セキュリティ更新プログラムでは、Microsoft 社と Adobe 社の製品で重大な脆弱性がいくつか公開されました。Microsoft 社については、この数か月間、比較的軽微な内容のリリースが続いていましたが、今回の月例セキュリティ更新プログラムで公開された脆弱性の数は 2020 年 9 月以来最多となっています。今月特に懸念されるのは CVE-2022-24521 です。これは Windows 共通ログ ファイル システム ドライバの「特権昇格」の脆弱性で、実際にエクスプロイトが確認されています。Adobe 社もセキュリティ更新プログラムをリリースしており、78 件のソフトウェア脆弱性に対するパッチをリリースしています。それらの多くは「緊急」と評価されています(情報源:TalosSecurity WeekKrebs on Security)。

悪名高い RaidForums のサイトが法執行機関の国際的な取り組みによって閉鎖に追い込まれました。このサイトは、主に攻撃者が標的の個人情報やログイン情報を売買するために利用されていました。サイトに表示されるメッセージによると、FBI、シークレットサービス、米国司法省がドメインを差し押さえています。また、サイトの作成者でありリーダーであるとされる 21 歳のポルトガル人を英国の法執行当局が逮捕しています。米国司法省では、世界中の 100 億人以上の個人情報が RaidForums で販売されたと推定しています(情報源:BBCArs Technica)。

Talos が発信している情報

Talos が参加予定のイベント

RSA 2022(2022 年 6 月 6 日~ 9 日)
カリフォルニア州サンフランシスコ

CISCO LIVE U.S. (2022 年 6 月 12 日~ 16 日)ネバダ州ラスベガス

Talos のテレメトリで先週最も多く確認されたマルウェアファイル

SHA 256e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD593fefc3e88ffb78abb36365fa5cf857c  
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg

SHA 25659f1e69b68de4839c65b6e6d39ac7a272e2611ec1ed1bf73a4f455e2ca20eeaa
MD5df11b3105df8d7c70e7b501e210e3cc3 
一般的なファイル名: DOC001.exe
偽装名:なし
検出名:Win.Worm.Coinminer::1201

SHA 25612459a5e9afdb2dbff685c8c4e916bb15b34745d56ef5f778df99416d2749261
MD53e2dbdfa5e58cb43cca56a3e077d50bf
一般的なファイル名:NirCmd.exe
偽装名:NirCmd
検出名:Win.PE.SocGholish.tii.Talos

SHA 2565616b94f1a40b49096e2f8f78d646891b45c649473a5b67b8beddac46ad398e1
MD53e10a74a7613d1cae4b9749d7ec93515
一般的なファイル名: IMG001.exe
偽装名:なし
検出名:Win.Dropper.Coinminer::1201

SHA 256792bc2254ce371be35fcba29b88a228d0c6e892f9a525c330bcbc4862b9765d0
MD5b46b60327c12290e13b86e75d53114ae  
一般的なファイル名:NAPA_HQ_SetW10config.exe
偽装名:なし
検出名:W32.File.MalParent

 

本稿は 2022 年 04 月 14 日に Talos Group のブログに投稿された「Threat Source newsletter (April 14, 2022) — It’s Tax Day, and you know what that means」の抄訳です。

 

TALOS Japan

Talos は、ネットワーク脅威の専門家集団です。Talos が提供する脅威インテリジェンスの情報は、既知および未知の脅威からお客様のネットワークを保護するためにシスコのセキュリティ製品によって活用されています。