“名前を言ってはいけないあのマルウェア”が登場 日本も攻撃の標的に：セキュリティニュースアラート

日本プルーフポイントは「Voldemort」（ヴォルデモート）と名付けられたマルウェアを利用したフィッシングキャンペーンを報告した。政府税務当局になりすます手法で日本をはじめ世界中の組織が標的にされている。

[後藤大地，有限会社オングス]

　日本プルーフポイントは2024年8月29日、「Voldemort」（ヴォルデモート）と名付けられたマルウェアを利用したフィッシングキャンペーンが展開されていると伝えた。欧州やアジア、米国、日本などの政府税務当局を装い、世界中のさまざまな組織を標的にしている。

“名前を言ってはいけないあのマルウェア”が世界中で展開されている

　Voldemortへの感染を狙ったフィッシングメールの配布は2024年8月5日から始まったとされ、世界の70以上の組織に税務当局からのメッセージを装った偽の税務申告の変更通知メールが送信されている。キャンペーン期間中、米国や英国、フランス、ドイツ、イタリア、インド、日本の税務当局がなりすましに使われ、攻撃ルアーは攻撃対象の言語で記述されていたことが判明している。

　送信された電子メールにはランディングページにリダイレクトするリンクが含まれている。このページにアクセスすると、まずバックグラウンドでユーザーエージェントのチェックが実行される。対象が「Windows」ユーザーの場合、Windowsエクスプローラーを開くように求めるポップアップが表示され、ユーザーが許可するとエクスプローラーに悪意のあるLNKファイルが表示される仕組みになっている。

　LNKファイルを実行すると「PowerShell」が起動され、悪意のあるPythonスクリプトが実行される。このPythonスクリプトがコンピュータ名やWindowsのバージョン、CPUなどのシステム情報を窃取し、最終的にVoldemortを実行する。

　Voldemortは情報収集や追加ペイロードのダウンロードが可能なカスタムバックドアとして設計されている。C2には「Google スプレッドシート」を使用されており、外部共有に保存された検索ファイルを利用するなどのユニークな手法を取り入れた攻撃チェーンを有するマルウェアとされている。

　日本プルーフポイントはこのキャンペーンを情報収集を目的とした持続的標的型攻撃である可能性が高いと評価しており、攻撃に使われた手法や技術から金銭目的ではなくスパイ活動が主な目的と分析している。

　この他、外部ファイル共有サービスへのアクセスをセーフリスト対象のサーバに限定することや、不要な「TryCloudflare」へのネットワーク接続をブロックすること、不審なスクリプトを監視するなどのセキュリティ対策を実施して今回のようなキャンペーンに対処することが推奨されている。