マイクロソフトの脅威保護インテリジェンスチームが新型コロナウイルス感染症(COVID-19)に関するサイバー攻撃の実態についてこのほど詳細な報告書を発表しました。COVID-19に関係するサイバー攻撃のレポートは、今年4月にGoogleの脅威分析グループも発表しています。
マイクロソフトの報告書によると、COVID-19関連のサイバー攻撃はWHO(世界保健機関)が新型コロナウィルスをCOVID-19と命名した今年2月11日まで顕著な発生は見られなかったものの、COVID-19と命名した翌週から急増し、それまでと比べて11倍もの量に増えたということです。そして、3月の最初の2週間でピークに達しました。COVID-19関連のサイバー攻撃の発生の増加は世界各国がCOVID-19に対する対策に乗り出した時期と一致するということです。
COVID-19関連のサイバー攻撃はマイクロソフトが観察している脅威全体の中ではごく一部にとどまっているとのことですが、3月最初の2週間にCOVID-19にテーマを絞った攻撃の増加がみられ、これは従来のサイバー攻撃者が戦術をCOVID-19にシフトさせたことによって増加したものとマイクロソフトは分析しています。
報告書では具体的な攻撃手法について触れていませんが、インターポール(国際刑事警察機構)は、サイバー犯罪者がスパムキャンペーンやフィッシング、マルウェアの拡散を目的にコロナウィルスやCOVID19、COVID-19などの用語を含むドメインを登録しているとして注意を喚起しています。また、COVID-19の情報などを装ったサイトに不正なコードを埋め込み、マルウェアをダウンロードさせたり、病院や医療センター、公共機関がランサムウェアの標的になっていると警告を発しています。
マイクロソフトの報告書は、イギリス、韓国、アメリカについて攻撃の傾向を分析、イギリスにおいてはアメリカがヨーロッパへの旅行禁止を発表した時に攻撃のピークを迎え、感染したボリス・ジョンソン首相が集中治療室に移動した時にも増加がみられたということです。また、アメリカでは2月半ばから増加し、最初の死亡者が確認され海外への渡航が禁止されたのに合わせて3月中旬までにピークに達し、その後は大幅に減少、イギリスとアメリカにおける攻撃の傾向は世界的な傾向を反映しているということです。
一方、韓国においても3月上旬に攻撃の最初のピークに達しましたが、その後の攻撃は世界の状況とは異なっていて、3月上旬のピークを過ぎて攻撃が一時下降したものの再び増加に転じ、最終的に5月23日頃に攻撃のピークを迎えました。韓国におけるCOVID-19関連の攻撃は世界的な傾向とは異なっていることからマイクロソフトは引き続き分析をしているということです。
攻撃はCOVID-19に対する地域の関心の高まりやニュースと高い相関性があるとマイクロソフトは指摘しています。日本国内においても国立感染症研究所が今年3月に不正アクセスを受けていたことが発覚したほか、同研究所を騙った偽メールやマスク配布を装う偽サイト、ランサムウェア等さまざまなCOVID-19関連の攻撃が確認されています。
また、特別定額給付金の給付にともなって政府機関や自治体のサイトを偽装したサイトが多数出現しているほか、最近はテレワークを狙った攻撃も顕著になっていることから引き続き警戒が必要です。マイクロソフトの報告書は、COVID-19関連の攻撃はグローバルなスケールで発生しているとし、攻撃のコストを上げさせる、あるいは成功の可能性を下げるためにクロスドメインの信号分析や更新プログラムの展開など新たな投資の有効性も指摘しています。
参照①:マイクロソフト脅威保護インテリジェンスチーム報告書
参照②:インターポール COVID-19サイバースペースの世界情勢