「娘のアレルギー情報はこちら」→マルウェアDLさせる ホテルなど狙うサイバー攻撃増加

[ITmedia]

　「宿泊を楽しみにしていますが、娘は特定の食べ物にアレルギーがあります。以下のURLよりダウンロードしてご確認お願いします」

　こんなメールをホテルの予約窓口に送り、URLからマルウェアをダウンロードさせ、宿泊予約者のクレジットカード情報などを詐取するサイバー攻撃が増えていると、セキュティ企業のラックが注意喚起している。コロナ禍が落ち着いてきた2023年夏ごろから、観光業を狙ったサーバー攻撃が増えているという。

ラックの注意喚起より、攻撃の構造

　攻撃者は、標的型メール攻撃によりホテル従業員の端末をマルウェアに感染させ、宿泊予約サイトの認証情報を取得。ホテル従業員になりすまし、宿泊履歴などを基に予約者にメッセージを送信し、フィッシングサイトに誘導してクレジットカード情報を不正に入手するという。

　攻撃者はいきなりマルウェアを送るのではなく、ホテルの従業員とメールでやりとりした後に、「宿泊者のアレルギー情報を確認してほしい」など、ホテル従業員のホスピタリティを逆手に取るような文面でURLを送りつける。

　URLはGoogle Driveなどのクラウドストレージに保存された圧縮ファイルへのリンクになっており、解凍すると、無害な写真や動画などに混じって実行形式のマルウェアファイルが展開されるという。

　マルウェアは、アカウント情報などを窃取するタイプ（「Redline」「DCRAT」「Vidar」など）。感染した端末のWebブラウザに宿泊予約サイトの認証情報が保存されていたり、感染後に宿泊予約サイトを使っってログインやパスワード変更などを行うと認証情報が盗み取られ、C2サーバ（Command and Control Server）に送信される。

　ホテル側の対策としてラックは、WindowsやOffice製品、Webブラウザなどの各ソフトウェアを常に最新の状態にすること、資産管理ソフトウェアやMDM（Mobile Device Management）などを導入し、社内のIT資産の状態を握すること、ウイルス対策ソフトを導入し、パターンファイルを常に最新の状態に更新することなどを推奨している。