【この記事はIT系ライター M氏 が書きました】
米Netflix(ネットフリックス)が手掛ける韓国のサバイバルドラマシリーズ『イカゲーム』に便乗した偽サイトが多数確認されたことが10月29日までに、情報セキュリティー企業 Kaspersky(カスペルスキー)の調査で分かりました。同社によると、9~10月にかけてインターネット上にトロイの木馬、アドウェア、フィッシングサイトなど、『イカゲーム』に関連するセキュリティの脅威を多数確認しており、注意を呼びかけています。
また、proofpoint (プルーフポイント)でも、10月31日にサイバー犯罪者TA575が『イカゲーム』のルアー(おとりテーマ)を用いたDridexマルウェアの配布を確認したと同社ブログで発表しています。
これらの偽サイトや偽ファイルは、いずれも日本語以外の言語で作成・公開されていたものの、今後は日本語のものが出現する可能性も考えられますので、どのような手口があるのか理解し、どう対策したらいいのか説明します。
■ マルウェア:『イカゲーム』のエピソードかと思ったら…
カスペルスキーは今年の9月から10月にかけて、『イカゲーム』関連のファイル名が付いた悪意あるファイルを数十種類、Web上で発見したようです。解析した結果のほとんどが、別の悪意あるプログラムをインストール可能なダウンローダー型のトロイの木馬が発見され、それ以外のトロイの木馬やアドウェアも見つかったようです。
今回紹介されていたサイバー犯罪の手口は、ファイルをダウンロードすると、このシリーズ最初のゲームのアニメバージョンが表示されるのと同時にトロイの木馬が密かに起動する。このトロイの木馬は、ダウンロードした人が使っているブラウザからデータを盗み、攻撃者のサーバに送り返すことが可能だった。加えて、フォルダの1つにショートカットが作成され、システムを起動するたびにこのトロイの木馬が起動するようになっていたようです。
同社は、『イカゲーム』を悪用したモバイルマルウェアも発見したようで、『イカゲーム』のエピソードのように見せかけられており、これをダウンロードするとトロイの木馬がダウンロードされてしまいます。非公式のアプリストアなどで、偽アプリとして配布されているので、注意が必要です。
■ 偽ストア:「イカゲームのジャンプスーツあります」
ハロウィンが近づくと、話題のドラマの仮想をする人をターゲットにした偽サイトが増加します。カスペルスキーでは、『イカゲーム』関連の偽サイトが多数出現しているのが確認されたようです。ほとんどが公式サイトを名乗り、ドラマの中でプレイヤーが着ているようなコスチュームを扱っているとうたっています。こうしたWebサイトで買い物をした場合、商品が届かず、払ったお金も戻ってこないおそれがあります。クレジットカード情報やメールアドレス、住所、氏名などの個人情報を入力させられるので、重要な情報をサイバー犯罪者に渡すことになってしまいます。
■ 偽キャンペーン:『イカゲーム』のオンラインゲームに参加して賞金獲得
『イカゲーム』をストリーミング視聴できるとうたう「古典的な」フィッシングページ以外に、オンライン版のゲームに参加して100 BNB(Binanceコイン)を獲得しようとすすめるWebページも見つかっています。この「偽ゲーム」をプレイしても約束の報酬は受け取れず、データを取られたりマルウェアをダウンロードしてしまったりという結果が待っています。
■ 偽メール(おとりテーマ):「イカゲームの新シリーズのエキストラ出演募集中です」
プルーフポイントは、攻撃者はNetflixを装い『イカゲーム』の新シーズンへのアーリーアクセスや、テレビ番組のキャスティング、エキストラ出演応募に参加するよう誘惑するメールを使用して、主に米国のあらゆる業種を対象とした数千通のメールにて下記件名を確認しているようです。
・Squid Game is back, watch new season before anyone else. (イカゲーム再開、誰よりも早く新シーズンをご覧ください。)
・Invite for Customer to access the new season. [sic](新シーズン視聴に関するお客様への招待状)
・Squid game new season commercials casting preview (イカゲーム新シーズン キャスティングプレビュー)
・Squid game scheduled season commercials talent cast schedule (イカゲーム新シーズンタレントキャストスケジュール)
このメールでは、新シーズンにいち早くアクセスするために添付書類に記入するよう、または出演者やエキストラ応募のためにタレントフォームに記入するよう指示されていますが、添付書類はExcelのマクロで、有効にするとDiscordのURLからDridexバンキング型トロイの木馬のアフィリエイトID「22203」をダウンロードするようなっています。
Dridexは、複数のアフィリエイトによって広範囲に配布されるバンキング型トロイの木馬で、データの窃盗やランサムウェアなど後続のマルウェアのインストールにつながる可能性があります。
サイバー犯罪者 TA575は、プルーフポイントが2020年後半から追跡しているDridexのアフィリエイトで、悪意のあるURLやMicrosoft Officeの添付ファイル、パスワードで保護されたファイルを介してマルウェアを配布しています。TA575は平均して数百の組織に影響を与える攻撃キャンペーンを展開し、1つの攻撃キャンペーンごとに数千通のメールを送信しています。また、TA575はDiscordのコンテンツ・デリバリー・ネットワーク(CDN)を利用し、Dridexマルウェアのホスティングと配布を行っています。
■ 対策として
カスペルスキーの担当者は、サイバー犯罪者は何が効果的で何がそうでないかを嗅ぎ分ける嗅覚を持っているとした上で、「『イカゲーム』がサイバー犯罪に利用されるのは時間の問題だった」と述べています。悪質なプログラムや詐欺の被害に遭わないために、以下の対策をおすすめしています。
・個人情報を入力する必要がある場合は、そのWebサイトの信頼性を確認してからにする。また、動画を見たりダウンロードするのは、公式のWebサイトからだけにする。自分の見ているWebサイトのアドレスに不自然な点がないか、会社名のスペルに間違いがないか、よく確認しましょう。
・ダウンロードするファイルの拡張子に注意しましょう。音楽や動画のファイルならば、拡張子は「.mp3」「.avi」「.mkv」「.mp4」であるはずです。「.exe」や「.msi」ということはありません。
・コンテンツを「一足先に視聴できる」と主張するWebサイトへのアクセスは避けましょう。コンテンツが本物かどうか分からない場合は、そのコンテンツを公式展開しているプロバイダー(Netflixなど)に問い合わせましょう。
▽『イカゲーム(Squid Game)』韓国のファン・ドンヒョク監督が手掛けるサバイバルドラマ。日本を含めた世界90カ国以上で視聴ランキング1位を獲得しており、Netflix社の配信作品過去最大のヒット作となっています。巨額の賞金に目がくらんでゲームに参加する中年主人公を演じるのは韓国俳優イ・ジョンジェ(48)。日本でも人気のイ・ビョンホン(51)も出演しています。Netflixによれば配信開始から4週間で1億4200万の会員世帯が視聴した他、TikTokでは関連動画が420億回以上再生された大ヒット作になります。
関連リンク
サイバー犯罪に利用される『イカゲーム』(カスペルスキー公式ブログ)
https://blog.kaspersky.co.jp/squid-game-related-threats/31880/
攻撃者TA575が「イカゲーム」のおとりを用いてDridexマルウェアを配布(プルーフポイント公式ブログ)
https://www.proofpoint.com/jp/blog/threat-insight/ta575-uses-squid-game-lures-distribute-dridex-malware