マルウェア「Voldemort」の攻撃報告が相次ぐ。日本語による攻撃も確認

サイバー攻撃手法は次々と新しいものが生み出され、セキュリティの目を掻い潜ろうとしています。多くの攻撃はグローバル言語である英語で行われる一方、一部の攻撃は日本語にも対応していることがあり、決して油断はできません。

今年に入って新たに確認されたマルウェア「Voldemort」もまた、日本語でのフィッシング攻撃に採用されていることから、改めてマルウェア対策の見直しの検討が迫られています。

名前を言ってはいけないマルウェア「Voldemort（ヴォルデモート）」の脅威

Voldemortは、2024年の8月5日に初めて攻撃が観測されたマルウェアです。世界で70を超える組織に対して攻撃が行われ、攻撃メールの数は2万件におよぶとされています。

攻撃は複数の企業や団体に対して行われましたが、割合として最も多かったのは保険業界です。保険企業を対象とした攻撃は全体の4分の1を占めており、文言も全て別個にアレンジされていたことから、警戒が難しい攻撃でもありました。

サイバーセキュリティ会社の日本プルーフポイントは、マルウェアに含まれている文字列やファイル名からこのマルウェアを「Voldemort」と命名しています。Voldemortとはイギリスのファンタジー小説『ハリー・ポッターシリーズ』に登場する「ヴォルデモート卿」に由来すると考えられ、原作の知名度の高さからも、世界中にその名前を轟かせています。

日本企業もVoldemortの標的に

Voldemortの特徴は、フィッシングメールの文言が一つ一つ巧妙にアレンジされているだけでなく、国や地域に合わせた言語設定になっている点です。

日本の組織もVoldemortの攻撃対象となっており、日本語での攻撃がすでに確認されています。税務当局を装った文言で受信者をリンク先に誘導し、マルウェアに感染させる手法です。

メールの中に記載されているリンクをクリックすると、あるランディングページに遷移させられます。するとIEを展開するよう求めるポップアップが表示され、許可を出すことでLNKファイルが出現します。

このファイルを実行することによりVoldemortが起動し、情報収集のためのスパイ活動が裏で行われるようになるという仕組みです。

直接金銭を要求するマルウェアではないものの、間接的にランサムウェア攻撃を招いたり、組織の機密情報が流出したりする大きなリスクを背負うことになるため、凶悪な攻撃であることに変わりありません。

Voldemortの検知を難しくさせるGoogle Sheetsの悪用

Voldemortの恐ろしいところは、Google Sheetsという広く普及したサービスを流用したマルウェアである点です。不正なデータ収集やデータの削除といった操作の実行にGoogle Sheetsを噛ませていることにより、セキュリティシステムが「正常な業務の遂行と」勘違いして、マルウェアの検知が遅れてしまう事態をもたらしかねません。

マルウェアを検知できるのは、それが普段の業務フローでは起こり得ない異常なプロセスが発生したり、不審なツールの干渉が見られたりするためです。

Voldemortのように、Google Sheetsという汎用なサービスを基盤とする攻撃はまだ例が少なく、既存のセキュリティ環境では回避が難しい可能性があります。

未知の脅威から組織を守るためにも、まずはベストプラクティスの確認を

Voldemortを使ったサイバー攻撃は、今後も日本を含め世界中で展開される懸念が大きく、実害の発生や損失の拡大などが懸念されます。日常業務で使用するクラウドサービスを介した攻撃は検知が難しくなるため、今一度対策アプローチを見直す必要もあるでしょう。

まず気をつけるべきは、外部ファイル共有サービスのあり方の見直しです。無闇な外部サービスへのアクセスは組織で禁止し、社内でセーフリスト対象に含まれているものに限定することで、Voldemortによる攻撃で被害を被るリスクを小さく抑えることができます。

近年、従業員が無断で外部のクラウドサービスやその他Webサービスを利用し、業務の効率化を試みるケースが各企業で相次いでいます。

生産性向上に向けたデジタル活用は積極的に後押しするべきですが、管理下に置かれていないサービスの利用は、重大なインシデントを招く恐れがあるため、厳しい取り締まりが不可欠です。

今一度現在の組織におけるサービス利用のあり方を見直し、大きなリスクが業務上で発生していないか、把握しておくことをおすすめします。