サイバーセキュリティ対策事業CYFIRMA、東京オリンピックをテーマとするスピアフィッシングとSMSテキストベースのスミッシングキャンペーンの予兆を検知
2018-08-31

報道関係各位
2018年8月31日
Antuit株式会社

ビッグデータ分析のグローバルコンサルティング企業、Antuit(アントゥイット)ホールディングス(本社:シンガポール、日本法人:Antuit株式会社)は、サイバーセキュリティ対策事業「CYFIRMA(サイファーマ)」のサイバーインテリジェンスリサーチチームが、東京オリンピックをテーマとするスピアフィッシングとSMSテキストベースのスミッシングキャンペーンの予兆を検知したことについて発表しました。このキャンペーンに関する注意喚起レポート(https://pardot.cyfirma.jp/early_warning_report_201808_1)を8月20日に発表し、本リリースにはレポートのアップデート情報も含まれています。

オリンピックのような大規模な国際イベントは常に、知名度や名声を求めるハッカーから国家に支援されている諜報活動員まで、重要インフラやサービスを妨害することで開催国の評判を貶めようとする幅広い犯罪者たちの関心の的になっています。加えて、偽造チケットの販売やフィッシングキャンペーンを利用してランサムウェアを提供して利益を得ようする金銭目的のサイバー犯罪者も増加しています。

2020年の東京オリンピックは、スポーツと最先端のデジタル技術の融合により、歴史に残るスポーツと文化の祭典となるでしょう。一方で、世界最大かつ最も公なイベントでその名を残したいと思っているサイバー犯罪者たちの興味も増加しています。

CYFIRMA事業Chairman & CEOのKumar Ritesh(クマー・リテッシュ)は以下のように述べています。「2020年の東京オリンピックが近づくことで、異なる種類のサイバー攻撃により観光客やスポーツ当局、スポンサー企業、政府機関を標的とするサイバー犯罪者が増加し、著名人が攻撃の対象になるでしょう。サイバー犯罪者は常に、セキュリティ意識の低い組織を攻撃する手段として、国際的なスポーツイベントを利用してきました。東京オリンピックもこうした攻撃を仕掛ける犯罪者たちの傾向に沿ったものです」

2012年のロンドンオリンピックでは、英国の組織委員会は政府機関や企業の協力を得てまとめた先見の明と堅牢なサイバープランにより、混乱を最小限に抑えています。

<ハッカーの動機>

弊社の分析では、2020年の東京オリンピックをテーマにした攻撃を元に、ハッカーたちは銀行のログイン情報を含む個人の機密情報を搾取しようとしています。彼らの第一の動機は金銭目的とみられており、加えてビジネスメール詐欺と会話のハイジャックによる開催国及び特定の標的企業に対する風評被害を狙う目的もあるようです。

<スピアフィッシングキャンペーン>

このキャンペーンは、ビジネスメール詐欺と会話へのハイジャック攻撃の一環であるようです。標的とする企業の従業員に対して、東京オリンピックの無料チケットを提供するという文面で、悪意あるリンクをクリックするように誘導します。さらにユーザーがクリックする確率を上げるために、偽のキャンペーン広告をうち、キャンペーンの当選者には600ドルのギフトを提供すると騙る画策を進めています。

重要なポイントは、攻撃者が偽のリンクまたは電子メールの添付ファイルから、データ搾取あるいはインターセプターマルウェアの実行ファイルをインストールさせる計画をしていることです。

<スピアフィッシングキャンペーンメールの詳細>

 – 宛先(To):標的企業の従業員/契約社員

 – 件名(Subject):
    ・Free Tickets To Tokyo Olympics (Fun)
    ・Free Tickets Olympics

 – フィッシングメールで利用される可能性のある偽のURL:
    ・www[.]kennicwa-tokyo2020.io/bolde12[.]exe
    ・www[.]ticket-sales.com/index[.]htm
    ・www[.]20gamestokyo[.]net/emp[.]asp
    ・http[:]//livetokyo2020[.]net/media-ch[.]asp
    ・http[:]//freeloaderstokyo[.]com/fill-form[.]html

機密データの漏洩したエンドポイントを検索し、リモート中であるハッカーの制御下にあるC&Cサーバーに流出させる可能性のある悪意あるペイロード情報につきましては、お客様へ個別にご案内しております。

<SMS/テキストベース スミッシングキャンペーン>

弊社リサーチセンターでは、東京オリンピックの無料チケットを提供するという文面で、悪意あるリンクをクリックするように誘導し、さらにユーザーがクリックする確率をあげるために、偽のキャンペーン広告をうち、キャンペーンに登録し当選すると600ドルのギフトを提供すると騙るスミッシングキャンペーンも観測しています。

スミッシングキャンペーンメッセージの詳細:

    ・SMS で送付されるコンテンツの詳細 : 現段階では不明
    ・送信元 : 現段階では不明
    ・スミッシングキャンペーンで利用される可能性のある偽のURL:
        ・www[.]ticket-sales[.]com/index[.]htm
        ・http[:]//freeloaderstokyo[.]com/fill-form[.]html
        ・http[:]//tokyogames[.]net/contact-bankdetails[.]htm
        ・http[:]//2020tokyogame[.]cn/gtui/gifthamp[.]js

軽減策:

・本レポートに記載した、悪意のあるURL、IPアドレス、SHAフィンガープリントなどのIoC(Indicator of Compromise)を、ファイヤーウォール、プロキシ、エンドポイントマネジメントツール、スパムフィルタリングなどのセキュリティコントールでブロックする。
・厳重な電子メールポリシーを適用して適切なアンチフィッシングおよびスパム制御を適用する。
・信頼できない情報源からの電子メールやURLを開かない。組織外の送信元から送信された電子メールを開く前に、送信者の電子メールアドレスを常に確認する。
・メール/ SMSに記載されているリンクをクリックする際には、信頼できるものか十分にチェックをする。
・サイバーセキュリティ啓蒙プログラムを確立し、定期的な周知の確認とテストを行う。また、社員に信頼できるアプリストアのみからアプリケーションをダウンロードさせるよう教育する。
・適切なネットワークセグメンテーションの実装。組織のネットワークレベルでサービスとシステム間の通信を制限し、マルウェアの感染や持続的脅威の組織内の拡大を防止する。
・すべてのエンドポイントを保護するために、脅威に関連付けられている識別されたハッシュシグネチャをアンチウィルス/ IDS(侵入検知システム)リポジトリに設定する。
・ビジネス目標と優先事項を念頭に置いて、機敏でプロアクティブなAPT- IR(持続型標的型攻撃に対するインシデントレスポンス)戦略を構築する

【CYFIRMAについて】  https://www.cyfirma.jp/
CYFIRMAは、AIと機械学習を活用した予測的アプローチにより、リアルタイムなサイバー脅威インテリジェンスを提供し、お客様のよりプロアクティブなサイバーセキュリティ対策の実現を可能にします。独自の脅威インテリジェンスアナリティクスプラットフォームが、オープンウェブ、ダークウェブ、ディープ上の膨大なデータソースから日本企業に関連する情報を自動的に収集、独自のアルゴリズムにより分析することで、特定のお客様が標的となっている攻撃を予見し、リソース配分やセキュリティマネジメントの最適化を支援する「CYFIRMA360°サイバーセキュリティサービス」を提供しています。

【Antuitについて】  https://www.antuit.co.jp/
Antuitはビッグデータ分析専門のグローバルコンサルティング企業です。博士号を持つデータサイエンティスト、経営コンサルタントなどのエキスパートによる専門家チームが最先端のビッグデータ分析と活用を通じて、顧客企業の抱える問題を解決し、お客様のビジネスの成功を継続的にサポートしています。

【お問い合わせ】
お問い合わせはこちらのフォームよりお願いいたします。
https://www.cyfirma.jp/contact/