本物そっくりの“偽”ワクチン予約サイト
新型コロナウイルス感染症の影響が世界中で続いており、さまざまなイベントの中止なども相次いでいる。一方、新型コロナウイルスへの対策として、ワクチンの接種も急ピッチで進んでいる。
ニュースなどで報道されているように、まだ接種できておらず、機会を積極的に探している人たちもいる。そうなると、それを狙うサイバー犯罪も出てきてしまう。しかも、それらの多くは「本物のふり」をしてやってくるのだ。
たとえば、フィッシング対策協議会によれば、厚生労働省を騙り、大規模接種センターの予約を取れるように見せかけたメールが報告されている(フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | 厚生労働省をかたるフィッシング (2021/08/30))。メール本文のリンクから、厚生労働省の新型コロナワクチン接種の総合案内サイト「コロナワクチンナビ」によく似た偽サイトに移動するようになっている。
もちろん、これはニセのメール。正規のサービスなどをよそおったメールで、ニセのサイトに誘導させ、クレジットカード情報やログイン情報(IDとパスワードなど)を盗み出す「フィッシング詐欺」の手口だ。ここで個人情報を入力してしまうと、悪意をもった人間に情報を抜き取られてしまう。
個人情報を窃取するためのフィッシングサイトの悪質なところは、本物のサイトの画面をコピーして作成することが多いため、見分けることが困難な点。個人情報の入力を要求された場合は、入力する前に、似たようなフィッシングや詐欺事例がないか、あるいはURLが正しいかどうか、確認するようにしなくてはいけない。
毎日のように報道されている新型コロナウイルスに乗じて、サイバー犯罪をはたらこうとする悪意のある者がいる。不確かな情報も流れがちな状況だからこそ、我々は用心しなければならない。
フィッシング詐欺で用心するポイント
フィッシング詐欺の見分け方は、とにかく用心すること。スマートフォンを誰もが持っている今日においては、スマホユーザーや、SMS機能に目を付けたフィッシング詐欺の手口も増えてきている。すぐにアクセスしないといけないと思わせるように、至急の対応をうながす文面が使われることも多い。
また、前述したように、メールなどから誘導されるニセのサイトもロゴや文言なども公式を思わせるように作ってあるため、用心しないと、あっさりだまされてしまう可能性がある。
そのため、メールで送られてきたならメールアドレスは正規のものか、サイトにアクセスをうながされたのならURLが正規のものであるかをしっかり確認するような、用心深さが必要になってくる。たとえば、政府機関のサイトへアクセスする際は、ドメイン名の末尾が「.go.jp」であることを必ず確認しよう。
もちろん、セキュリティ ソフトウェアを使用し、デバイスや個人情報をフィッシング詐欺(およびマルウェア)の脅威から保護するのも重要だ。
フィッシング詐欺のように、本物そっくりに見せておいて、個人情報を抜き取ったり、悪質なアプリをダウンロードさせたりする手口は多い。用心することはもちろん、類似した手口を知って、知識を持っておくことも肝心といえる。
今回は、McAfee Blogの「Windows Defenderを装い悪質なWindowsアプリへ誘導する詐欺に注意」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
Windows Defenderを装い悪質なWindowsアプリへ
誘導する詐欺に注意:McAfee Blog
サマリー
・Windowsプッシュ通知を利用して正規のアラートに偽装する詐欺が増えています。
・最近のキャンペーンでは、Windows Defenderのアップデートを装っています。
・被害者は、ユーザーとシステムの情報を標的とする悪質なWindowsアプリケーションのインストールを許可することになります。
ブラウザーのプッシュ通知は、Windowsシステムの通知に非常によく似ています。先日ご紹介したように、この詐欺はプッシュ通知を乱用してユーザーにアクションを促します。最近の例では、偽のWindows Defender更新プログラムをインストールさせるために、ソーシャルエンジニアリングの手法が用いられています。トレーに表示されたポップアップによって、ユーザーにWindows Defender の更新を通知します。
メッセージをクリックすると、偽の更新ウェブサイトに移動します。
このサイトは、署名されたms-appinstaller(MSIX)パッケージを提供しています。ダウンロードして実行すると、「Publisher:Microsoft」から提供するとされるDefender Updateをインストールするようユーザーに促します。
インストール後、他のWindowsアプリと同様に、「Defender Update」アプリがスタートメニューに表示されます。
ショートカットはインストールされているマルウェアを示します:
C:\ Program Files \ WindowsApps \ 245d1cf3-25fc-4ce1-9a58-7cd13f94923a_1.0.0.0_neutral__7afzw0tp1da5e \ Bloom \ Eversible.exe
これは、さまざまなアプリケーションや情報を標的としてデータを盗むトロイの木馬です。
・システム情報(プロセスリスト、ドライブの詳細、シリアル番号、RAM、グラフィックカードの詳細)
・アプリケーションプロファイルデータ(Chrome、Exodus wallet、Ethereum wallet、Opera、Telegram Desktop)
・ユーザーデータ(クレジットカード、FileZilla)
保護されていますか?
・Real Protect Cloudを利用しているマカフィーのお客様は、機械学習によりこの脅威から積極的に保護されています。
・ウェブプロテクション(マカフィー ウェブアドバイザーおよびMcAfee Web Controlを含む)を利用しているマカフィーのお客様は、既知の悪質なサイトから保護されています。
・McAfee Global Threat Intelligence (GTI)は、非常に低い測定量での保護を提供します。
安全に利用するためのヒント
・参照:ポップアップを停止する方法
・詐欺の手口は非常に巧妙です。即座にブロックし、一方で、時間をかけて判断してから許可した方がよいでしょう。
・疑わしい場合は、自分自身で対策しましょう。
・Windows Updateは、[スタート]メニューをクリックし、
「更新プログラムの確認」と入力し、
[システム設定]のリンクをクリックします。
・送信されてきたリンクをクリックするのではなく、
ウェブアドレスを手動で入力します。
・電話やメールなどは、連絡する前に番号とアドレスを確認してください。
参照IOC
・MSIXインストーラー:02262a420bf52a0a428a26d86aca177796f18d1913b834b0cbed19367985e190
・exe:0dd432078b93dfcea94bec8b7e6991bcc050e6307cd1cb593583e7b5a9a0f9dc
・インストーラーのソースサイト:updatedefender [dot] online
※本ページの内容は2021年5月17日(US時間)更新の以下のMcAfee Blogの内容です。
原文:Scammers Impersonating Windows Defender to Push Malicious Windows Apps
著者:Craig Schmugar
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト