イギリスの国民保健サービス（NHS）は、サイバー詐欺集団が「偽のCOVID-19ワクチン優先接種案内メール」を送りつけていると警告しました。1月25日、オックスフォードにある泌尿器悪性腫瘍学会（Urology Cancer Research & Education：UCARE）はNHSに連絡を取った上で、同機関が受け取った偽のCOVID-19ワクチン優先接種案内メールの画像を、Twitter経由で公開しました。

最近発見された偽のCOVID-19ワクチン優先接種案内メールの内容

この詐欺メールは、件名が「NHSVaccination」であり、NHSの名前を騙ることで、同メールが正規のものであるように見せかけていました。そして、その本文には、NHSが「家族の遺伝的特徴と病歴に基づいてコロナウイルスの優先接種の選択を行っている」ことを受信者に知らせるメッセージが含まれていました。

続いて、同メールでは、受信者がワクチンを優先的に接種できる人物に選ばれたことを通知した上で、ワクチンの優先接種を受け入れるかそれとも拒否するかを、対応する2つの埋め込みリンクのうちのいずれかをクリックすることで選択するよう受信者に指示していました。

▲詐欺メールの画面ショット（Twitterより）

UCAREの職員が「Accept invitation（優先接種を受ける）」リンクをクリックしたところ、NHSを装ったWebサイトにリダイレクトされることがわかりました。UCAREによれば、同Webサイトはその後、ワクチンを予約するという名目で個人情報および銀行口座情報を入力するよう求めたとのことです。

サイバーセキュリティコンサルタントのDaniel Card氏は、この詐欺のトラフィックデータを調査することで、数千人もの人々が偽のNHSのWebサイトへとリダイレクトされるリンクをクリックしたという証拠を見つけました。Card氏はBBCニュースに対して、何人がこのWebサイトで自分の個人情報を入力したかは不明だと話しています。

NHSはその後、Twitterを通じて、ワクチンは常に無料で提供されること、そしてNHSが本人確認のために銀行口座情報の提示を求めることは今後も決してないことを、ユーザーに注意喚起しました。

その他のCOVID-19ワクチン関連の詐欺

サイバー詐欺集団がCOVID-19ワクチンへの関心に便乗しようとした事例は、上記の詐欺だけではありません。たとえば1月初旬に、ダービーシャー州警察はBBCニュースに対して、ワクチンの接種資格があることを受信者に知らせるスミッシング攻撃に関する報告が同署にあったことを伝えています。

これらのメッセージは、ユーザーにリンクをクリックするように指示し、ユーザーを偽のNHSのWebサイトに誘導することで、同ユーザーの銀行口座情報を盗み出そうとするものでした。

▲偽のSMSメッセージと偽のNHSサイトの画面ショット（BBCニュースより）

国民の意識を向上させるために、NHSはそのWebサイト上で、すべての英国市民がワクチンを受ける資格を持つこと、そしてワクチンを受ける順番が来た市民には、手紙、SMS、または電子メールを通じて連絡が行われることを明らかにしました。さらに、ワクチンは無料であり、身元確認のために銀行口座情報、パスワード、機密書類の提供を求めることは決してないことも明らかにしました。

COVID-19ワクチン関連の詐欺が発生したのは、イギリスだけはありません。たとえば、2020年12月18日、米国メリーランド州連邦検事局は、COVID-19ワクチンの製造に取り組んでいる製薬会社の正規Webサイトを装った2つの詐欺ドメインを差し押さえたと発表しました。

司法省の調査により、これらのWebサイトを登録した人物は、訪問者の個人情報を盗む目的で同サイトを登録していたことが明らかになりました。また、FBIでは同じ時期に、COVID-19ワクチンに関連する偽のメッセージを利用して被害者の個人情報や金銭を盗み出そうとする詐欺に注意するようユーザーに警告していました。

COVID-19ワクチン関連の詐欺から身を守るには

サイバーリーズンのCSOであるSam Curryは、上記のようなフィッシング攻撃を知っても驚きませんでした。

Curryは次のように述べています。「国家レベルの脅威アクターは恥を知らないのでしょうか？彼らはこの1年間にわたって、医療および研究の最前線にある企業を攻撃し続けています。これは、彼らが血も涙もない計算を行っていることを表しています。
中国、北朝鮮、イラン、ロシアにおける国家ぐるみの脅威アクターによる恥知らずな試みは、COVID-19のサプライチェーンやワクチンの投与を混乱させ、コロナウイルスに罹って苦しんでいる多くの人々の健康を取り戻すことを阻害する行為であり、これは戦争行為に匹敵するものです。私は、これらのサイバー犯罪者が最終的に法の裁きを受けることを望みます」。

その一方で、Curryは、サイバー犯罪者が今後もワクチン接種を受けようとしている人々を標的にして彼らの個人情報を盗もうとし続けるだろうと認識しています。このため、彼は、電子メールのセキュリティを実現するためには、消費者がベストプラクティスに従うことが不可欠だと感じています。

Curryは次のように述べています。「消費者は、信頼できない人物や情報源から送り付けられた添付ファイルを開くこと、怪しげなWebサイトを訪れること、信頼できないサイトから情報をダウンロードすることがあってはなりません。
ワクチン接種の予約に関わるサイバーリスクを取り除くには、病院やクリニックのWebサイトに直接アクセスするか、または電話で予約をする必要があります。フィッシング詐欺は、マーケットが存在する限り存続するため、疑わしい電子メールの添付ファイルは決して開かないようにしてください」。

また、企業や組織は、このようなタイプの攻撃から組織とその従業員を守るための対策を講じることができます。特に、企業や組織は、セキュリティに対するオペレーション中心のアプローチを取るプラットフォームに注目する必要があります。そのようなプラットフォームを導入すると、企業全体における悪意ある行動の連鎖に基づいて攻撃を早期に検知できるようになり、攻撃が成功した後にIOCを見つけようとして動きが取れなくなることを防止できます。

ホワイトペーパー「MITRE ATT&CKを使用してクローズドループ式のセキュリティプロセスを作成する5つの段階」

このホワイトペーパーでは、MITER ATT＆CKを使用してクローズドループの戦術的なセキュリティ対策を実施するために参考にすべき、重要な5つの段階について説明します。
https://www.cybereason.co.jp/product-documents/white-paper/3259/