全世界を揺らしている「新型コロナウイルス」事態により、経済はもちろん人々の生活全般が危険な状況に置かれた。中国から始まったウイルスは他のどの武器よりも強力な攻撃に染み込んで、開学が延期された学生と社会人に大きな衝撃を与えている。飛沫感染という特性のせいで一部の事業所では従業員に「在宅勤務」を勧誘するなどの措置を勧告しているが、「新型コロナウイルス」による被害はその後まで追いついてきた。これまでの古典的な手法で広がった悪性メールとランサムウェアなどが混乱な現在の状況に乗って在宅勤務者を含む全会社員たちに大きな脅威になってきたからだ。

また、最近多く広がっている「偽ニュース」のようなHoaxも不安を引き起こしている。Hoaxは存在しない脅威に対する過度な警告で人の不安心理を刺激する偽メッセージとして、不安を引き起こす目的でSNSやメールなどを通じて伝播される。Hoaxの一部はいたずらに扱われる場合も多いが、時局が時局なだけ現在のように社会的な混乱と過剰な恐怖の雰囲気を造成して人々の不安感と恐怖心がより増幅させている。

保安業界は「新型コロナウイルス」で物騒がしい雰囲気に乗って攻撃者が隠れて入り、恐怖心でぼけた判断力を利用して攻撃機会を狙ったものと推測している。「新型コロナウイルス」の拡散で直接な会議や出会いの代わりにオンラインコミュニケーションが増え、メールやメッセンジャーの使用頻度が高くなったのも攻撃対象となった理由の一つに見える。WHOが「新型コロナウイルス」パンデミック（世界大流行・pandemic）を宣言することによって終息まで長期戦になると予想されるため、今後も保安規則に特に注意すべきである。

▲見積書に偽装した悪性メールが継続的に発見されている。 （出典=アンラボ）

アンラボ（AhnLab）は1〜2月間業務メールと見積書などに偽装した悪性コード流布事例が継続的に発見されていると明らかにしながら注意を呼びかけた。攻撃者は実際に存在する企業や機関を詐称して発注・見積依頼書、請求書、履歴書などに偽装した悪性メールをランダムに送信し、メール本文に「詳細については添付ファイルを確認してほしい」などの具体的な内容を記入して被害者が疑いなくメールに添付された悪性ファイルをダウンロードして実行するように誘導した。

2月には発注・見積依頼書などの請求書（invoice）に偽装した悪性メール流布事例も発見された。攻撃者は存在する特定企業を詐称して「発注書送付」メールを送信し、「見積を依頼するので添付ファイルを参照してご協力の方をお願い致します。」というメールの本文に「OOO（企業名）-発注書送付の件」という悪性コードを含む圧縮ファイルを添付した。攻撃者は郵便局を詐称した「配送情報」という題目のメールも発送して「事務所に無効な住所の小包がある。添付ファイルを確認して地域事務所を訪問してください。」という本文と「配達情報文書」というファイル名の悪性ファイルを添付した。

採用が活発な1月には履歴書を偽装した悪性メールが発見されたりもした。攻撃者は疑いを避けるためメールの添付ファイルに「履歴書（日付）選ばれていただければ頑張ります。よろしくお願いします。」という題目の悪性ファイルを添付した。また、該当悪性ファイルのアイコンイメージをPDF文書のアイコンで飾って置いて、使用者がPDF文書ファイルに誤認してその悪性コードを実行するように誘導した。

メールに添付されたファイルは大体イメージ（.img）ファイルで、内部には実行ファイル（.exe）を含んでいる。 Imgファイルは一つのCDの内容を圧縮して一枚の写真のように作ったファイルで、圧縮プログラムで圧縮を解除して実行することができる。受信者がそのファイルを実行すると、悪性ファイルは特定のGoogleドライブURLにアクセスして悪性コードを追加でダウンロードする。攻撃者は受信者の疑いを避けるため一般ユーザーになじんでいるGoogleドライブを利用したものと推定される。

これらの事例で使用された悪性コードは全部PC感染後コンピュータのユーザー名、オペレーティングシステム、PC活動内容、キーボード入力情報、クリップボード内容など、ユーザー情報を攻撃者のサーバーに送信する。また、ユーザーPCリモートコントロール、追加悪性コードダウンロード設置など追加悪性行為を行うためユーザーの特別な注意が必要である。

▲「新型コロナウイルス」を悪用した悪質なメール攻撃が発見されている。 （出典=イストセキュリティ）

本格的に「新型コロナウイルス」の恐怖心を利用した悪性メール攻撃が発見されたりもした。イストセキュリティによると、Kimsuky組織の仕業に推定される「新型コロナウイルス」事態をサイバー攻撃に利用した関連悪性メールが発見されている。Kimsuky組織は特定政府の後援を受けることで知られている代表的なサイバー攻撃集団で、ムン・ジョンイン特報詐称、対北国策研究機関詐称スピアフィッシングなど国内企業と機関、関連従事者を対象としたサイバー攻撃を継続的に繰り返している。

悪性メールは流暢な韓国語で内容が作成され、受信者が疑いなくメールを開くように最近新型コロナウイルス感染被害予防のために、様々なお知らせがたくさん配信されている状況を狙ったものと見られる。今回悪性メールは国際交流関連機関の従事者を対象に流布されたことに確認され、新型コロナウイルス関連理事長の指示事項を詐称したメールの内容と一緒にファイル名が「新型コロナウイルス対応.doc」である悪性MS Word文書が添付されていたと明らかにた。

受信者がこの悪性文書ファイルを閲覧すると、攻撃者が文書に挿入しておいた悪意スクリプトが動作し、追加悪性コードをダウンロードする。追加ダウンロードされた悪性コードは「新型コロナウイルス感染症対策会議」という名前の別のハングルの作成文書を浮かばせてユーザー疑いをなくす同時に、ユーザーが気付かないようにPCアカウント情報、ホストネーム、ネットワークプロパティ、使用しているプログラムリスト、実行中のプロセスリストなど、様々な情報を収集する。また、攻撃者から追加命令を受信できるようにWindowsタスクスケジューラにアップデートプログラムに自分を登録して3分間隔に実行させる緻密さも見せた。

イストセキュリティは「新型コロナウイルスリアルタイム現状」参照プログラムに偽装した悪性コードも発見されたと紹介した。新たに発見された悪性コードは「コロナウイルス国内現状」、「国内コロナウイルスリアルタイム現状」などのファイル名を使用する実行可能プログラム（EXE）の形で、ファイルを実行すると変種に応じて「リアルタイム新型コロナウイルス現状」というタイトルのポップアップが表示される。ポップアップには実際の新型コロナウイルス感染状況を示すように感染者、隔離解除（完治）、死亡者、検査中など4つの項目とそれに伴う数値情報が表示される。

この過程で該当悪性プログラムはユーザーが知らないうちにPC一時フォルダに別の悪性コードを自動的にインストールする。新たに生成された悪性コードは実際悪性行為を実行する機能を持っており、感染したユーザーPCはリモートコントロール、キーロギング、画面キャプチャ、追加悪性コードインストール、情報奪取など様々な攻撃にさらされる。

▲KISAは「118相談センター」への緊急運営体制を稼働している。 （出典= kisa.or.kr）

これにKISA（韓国インターネット振興院）は「新型コロナウイルス」を悪用した事例をサポートするためハッキング・個人情報侵害・スパム等のサイバー苦情の電話相談サービスを提供する「118相談センター」の緊急運営体制を稼動し始めた。118相談センターは最近コールセンターに対する集団感染の懸念が急増するにつれて緊急事態発生の先制的対応を強化している。

KISAは感染予防のため118相談センターの緊急防疫と職員間の距離を置くため職員の机が互いに向き合わないようにセンターの内部構造の再配置し、一日に1回以上随時防疫と消毒薬、アルコール、体温計常備などの措置を実施している。 118相談センター内の自己隔離者または感染者発生など万が一の場合にも継続できる対国民サービスを提供できるように相談者の自宅とVPN接続、相談電話フォワーディングなど在宅勤務のためのシステム構築を段階的に推進している。これと共にKISAはインターネット侵害対応センター総合状況室、インターネットアドレス資源センター及び電子署名認証管理センターなど対国民サービスについても非常勤務人材確保、リモート勤務などの業務継続計画を策定して運営している。

普段の生活でも気をつけて警戒しなければならスミッシング、スパム、悪性メール攻撃などは現在「新型コロナウイルス 」事態に便乗してさらに大きな脅威を加えている。これらのサイバー脅威の被害を最小限に抑えるためには、国民が不安と恐怖心を抱くよりもう一歩疑って注意することが重要である。これに会社員は悪性コード感染を防止するため出典がが不明なメールの添付ファイル実行は自制し、ワクチンを最新バージョンに使用することが勧告される。また、OS（オペレーティングシステム）やインターネットブラウザ（IE、クロム、Firefox等）、アプリケーション（Adobe、Javaなど）、オフィスSWなどのプログラムに最新の保安パッチを適用させるなど基本的な保安規則を守らなければならない。

また、イストセキュリティを含む保安業界では、関連情報を疾病管理本部の公式ホームページなど出所を信頼できる所で確認することを勧告すると呼びかけている。 KISAの118センターだけでなく、アンラボの「V3 Lite」、イストセキュリティの「ALYac M」など保安業界の企業は、アプリケーションやホームページなどを通じて公式情報やニュースを報じている。

Copyright ⓒ Acrofan All Right Reserved