米国では連邦税の申告に頭を悩ませる時期になりましたが、税金関連の詐欺にも気をつけなければなりません。
毎年この時期になると、還付金を早く受け取れるとか、「簡単に無料で」確定申告を済ませられるとか、還付金を最大限に受け取れるといった偽の約束をする電子メールやテキストメッセージが送られてきたり、電話がかかってきたり、郵便物を受け取ったりします。通常、こうした詐欺犯は、皆さんの金銭や個人情報を盗もうとしています。
昨年の確定申告の時期に発生したある詐欺は、納税者に不正な税額控除を申請させようとするものでしたが、最高 5,000 ドルの罰金が科される可能性がありました。
これは米国だけの問題ではないことがわかっています。Talos は先週、あるトロイの木馬型マルウェアに関する新たな調査結果を公表しました。メキシコで感染被害を出しているマルウェアで、税金に関連したスパムメールや他のソーシャルエンジニアリングの手口が用いられています。
世界中の多くの国が、同じ時期に確定申告の期限を迎えます。日本では 3 月 15 日、米国では 4 月 15 日、ブラジル、カナダ、チリなど数か国では 4 月 30 日が申告期限となっています。そのため今後数週間は、世界中の詐欺犯が税金関連のスパムメールやソーシャルエンジニアリングの手口を使って金銭を盗もうとしたり、デバイスをマルウェアに感染させようとしたり、重要な個人情報を窃取しようとしたりします。
ですが、忘れないでいただきたいのは、今が「スパムシーズンのピーク」でも何でもないということです。「受信箱がスパムで溢れかえることになる」といたずらに人の不安を煽る必要もありません。
以前にも記事にし、こちらの動画でも説明していますが、確定申告の時期にスパムの量が増えるということはありません。内容が変わるだけなのです。確証バイアスについて考えてみてください。新車を買うとき、それまではあまり気づかなかったのに、突然道路上のあちこちでその車を見かけるようになるかと思います。
Talos のテレメトリによると、米国では確定申告の時期にスパムが増えることはもう何年もなく、詐欺犯の手口もほぼ同じであることがわかっています。詐欺犯は相手の興味を引く提案、文書、リンクを作成し、何らかの形で標的がそうしたソーシャルエンジニアリングの手口に引っかかるように画策します。
確定申告の期限が近づくにつれ、税金関連の詐欺に警戒することが重要なのは万国共通ですが、他の時期よりも 3 月と 4 月に特に懐疑的になる必要はありません。確定申告の期限が過ぎたらすぐに、詐欺犯はフィッシングメールに盛り込む次の注目の話題(大統領予備選挙、夏季休暇のお買い得品、偽のアマゾンギフトカードなど)を探し始めます。それだけのことです。
この件についてもっと詳しく知りたい方は、昨年の『Talos Takes』のエピソードを以下でお聴きください。
https://www.podbean.com/player-v2/?i=dwt79-17268153-dir&share=1&download=1&fonts=Arial&skin=1&font-color=auto&rtl=0&logo_link=episode_page&btn-skin=7&size=150
重要な情報
この 1 年、GhostSec という APT がランサムウェアの活動を活発化させており、現在は Stormous というグループと連携して「二重脅迫」のランサムウェア攻撃を行っています。GhostSec と Stormous は、新しい Ransomware as a Service(RaaS)プログラム STMX_GhostLocker も導入し、新規のアフィリエイトやメンバーを積極的に募集しています。
注意すべき理由
Talos は、GhostSec と Stormous ランサムウェアグループが連携して二重脅迫攻撃を数件仕掛けていることを確認しました。使用されているのは、GhostLocker および StormousX というランサムウェアプログラムです。Telegram チャネルと Stormous ランサムウェアのデータリークサイトに投稿された公開メッセージを精査したところ、キューバ、アルゼンチン、ポーランド、中国、レバノン、イスラエル、エジプト、ベトナム、タイほか、多くの国々で被害が出ています。このように、両グループの活動は 1 つの地域や業界だけには収まりません。RaaS は最近、多くのランサムウェアグループに人気のあるビジネスモデルであり、他の攻撃者が金銭を支払うだけで GhostSec のツールを使用できるように門戸を開いています。
必要な対策
Talos は、これらのランサムウェア攻撃グループをブロックする新たな方法を防御担当者に提供するために、新しい IOC を公開しました。GhostSec が特に依存しているインプラントの 1 つは、コンテンツ管理システムの WordPress を標的として、アクセス制御のバイパス機能やハッキングツールを挿入します。WordPress ユーザーは、ログイン情報が最新かつ強固なものであることを確認し、不正なプラグインやプロセスがサイト上で実行されていないことを確認する必要があります。
今週のセキュリティ関連のトップニュース
ビデオゲーム開発会社 Epic 社をハッキングして個人情報とゲームのソースコードを盗んだと主張していた「Mogilevich」を名乗る偽のランサムウェアグループが、虚偽だったことを認める。同グループのリークページに掲載されていた主張の内容は、Epic 社から盗んだ 200GB のデータを保有しており、それを他の攻撃グループに販売することも可能だが、身代金を支払えば盗んだ情報を Epic 社に返すというものでした。同グループは、「電子メール、パスワード、フルネーム、支払い情報、ソースコード、その他多くのデータ」を保有していると主張していました。Epic 社は直ちに声明を出し、ハッキングやデータ侵害の証拠は何も検出されていないと述べています。それから数日後、Mogilevich の代表者が名乗りを上げ、自らを「プロの詐欺グループ」であるとし、Epic 社のネットワークをハッキングしたことはないと明かしました。Epic 社は、人気のオンラインプラットフォームとゲーム『フォートナイト』で知られています。この詐欺グループは、偽のランサムウェア インフラストラクチャの販売も認めています。購入したのは、自分たちで攻撃を実行したいと考えていた別の攻撃者予備軍で、ある購入者は 85,000 ドルをだまし取られました(情報源:Eurogamer、Cyber Daily)。
人気のあるホワイトレーベルの防犯カメラシリーズに数々のセキュリティの脆弱性が発覚、ユーザーが気づかないうちに攻撃者がカメラの画像を収集する可能性も。脆弱性のあるカメラを製造しているのは同じ会社ですが、Amazon、Walmart、Sears、Temu などの人気サイトで Eken と Tuck のレーベルで販売されています。また、ドアベルには通常、連邦通信委員会(FCC)が発行する ID の表示が必要ですが、同社製のドアベルにはそれもありません。厳密に言えば米国内での流通は違法となりますが、2 月下旬時点ではまだ多くの製品が販売されています。脆弱性の影響は 10 種類以上の製品に及びますが、それらの製品はすべて、Android アプリストアで入手できる同じアプリによって制御されています。脆弱性をエクスプロイトしてカメラの画像を盗み見るために攻撃者が必要とするのは、シリアル番号を取得することだけです。新しいペアリングが行われたときにドアベルの所有者に通知が行くことはなく、攻撃者はアカウントのユーザー名やパスワードすら必要としません。カメラの販売元である小売業者は、調査を行ったメディア Consumer Reports からのコメント要請に回答していません(情報源:Consumer Reports、TechCrunch)。
米国の医療機関の支払いシステムが停止し、多くの医師が紙の請求書に切り替えなければならない事態に。保険会社 UnitedHealth 社の子会社である Change Healthcare 社で大規模なデータ侵害が発生した影響を受けてのことです。攻撃により業務を妨害された Change Healthcare 社が最初にこの侵害を公表したのは 2 月 21 日のことです。同社は毎年 150 億件の医療関連取引を処理しています。いつシステムが復旧するかわからないため、現在、米国保健社会福祉省は、Change Healthcare 社のサービスを利用している医療機関や医師に対し、代替手段の開発に着手するよう促しています。Change Healthcare は、医師、病院、その他の医療提供者と保険会社を結び、医療費の支払いや患者の各種サービスを承認するシステムです。この影響を受け医療提供者も困難に直面しており、保険会社からまだ支払いがないために、賃貸料やその他の請求の支払いが滞る状況に陥っています(情報源:USA Today、The New York Times)。
Talos についての関連情報
Talos が参加予定のイベント
Botconf(4 月 23 ~ 26 日)
コート・ダジュール、ニース(フランス)
Chetan Raghuprasad によるこのプレゼンテーションでは、Supershell C2 フレームワークについて詳しく説明します。攻撃者はこのフレームワークを大規模に使用し、Supershell インプラントを用いてボットネットを作成しています。
CARO ワークショップ 2024(5 月 1 ~ 3 日)
バージニア州アーリントン
比較的最近出現した YoroTrooper による攻撃が、過去 1 年間に大幅に増加していることが確認されています。この攻撃グループは遅くとも 2022 年以降、独立国家共同体(CIS)に対して、スパイ活動を中心に攻撃を仕掛けています。CARO 2024 における Asheer Malhotra のプレゼンテーションでは、YoroTrooper によるさまざまな攻撃の概要を説明します。YoroTrooper が採用しているコモディティ型マルウェアとカスタムマルウェア、YoroTrooper について発見したこと、戦術の進化について詳しく解説する予定です。また、過去 2 年間に CIS の政府機関の要人を標的にした攻撃で、YoroTrooper が侵入に成功した際のタイムラインを紹介します。
RSA(5 月 6 ~ 9 日)
カリフォルニア州サンフランシスコ
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:a31f222fc283227f5e7988d1ad9c0aecd66d58bb7b4d8518ae23e110308dbf91
MD5:7bdbd180c081fa63ca94f9c22c457376
一般的なファイル名: c0dwjdi6a.dll
偽装名:なし
検出名:Trojan.GenericKD.33515991
SHA 256:9f1f11a708d393e0a4109ae189bc64f1f3e312653dcf317a2bd406f18ffcc507
MD5: 2915b3f8b703eb744fc54c81f4a9c67f
一般的なファイル名:VID001.exe
偽装名:なし
検出名: Win.Worm.Coinminer::1201
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名: Wextract
偽装名:Internet Explorer
検出名: W32.File.MalParent
SHA 256:9ef2e8714e85dcd116b709894b43babb4a0872225ae7363152013b7fd1bc95bc
MD5: 4813fa6d610e180b097eae0ce636d2aa
一般的なファイル名: xmrig.exe
偽装名:XMRig
検出名: Trojan.GenericKD.70491190
SHA 256:a75004c0bf61a2300258d99660552d88bf4e1fe6edab188aad5ac207babcf421
MD5: c44f8ef0bbaeee256bfb62561c2a17db
一般的なファイル名: ggzokjcqkgcbqiaxoohw.exe
偽装名:なし
検出名:Symmi:GenMalicious-tpd
本稿は 2024 年 03 月 07 日に Talos Group のブログに投稿された「You’re going to start seeing more tax-related spam, but remember, that doesn’t actually mean there’s more spam」の抄訳です。