史上最悪のIT障害「CrowdStrike問題」に便乗したフィッシング詐欺が急増中

by Alpha

2024年7月19日に世界中のWindows搭載端末が次々とクラッシュした現象は、合計で850万台の端末に影響をもたらし、これにより空港や医療など重要なインフラを含むさまざまな機関や企業が被害を受けました。「史上最悪のIT障害」とも呼ばれているこの問題に便乗し、CrowdStrikeを装ったフィッシング詐欺や復旧ツールをかたったマルウェアが急増していることが報告されました。

Falcon Sensor Issue Likely Used to Target CrowdStrike Customers
https://www.crowdstrike.com/blog/falcon-sensor-issue-use-to-target-crowdstrike-customers/

Fake CrowdStrike fixes target companies with malware, data wipers
https://www.bleepingcomputer.com/news/security/fake-crowdstrike-fixes-target-companies-with-malware-data-wipers/

7月19日に発生したCrowdStrike問題は、Windows端末にインストールされたセキュリティソリューションである「CrowdStrike Falcon sensor」の不具合により、OSがブルースクリーンの表示と再起動を繰り返すというもの。

この障害の発生について、CrowdStrikeのジョージ・カーツCEOが謝罪声明を発表したほか、CrowdStrikeとMicrosoftが協力して復旧ガイダンスとリカバリツールを公開し、事態の収拾に努めています。

世界中の機関が復旧を進める中、障害の発生直後からこの問題に便乗したサイバー攻撃が多発していることが、複数の機関から報告されました。

イギリスの国家サイバーセキュリティセンター(NCSC)は7月19日の声明で、「悪意のある行為者がこの障害に便乗しようとしており、障害に言及したフィッシングの増加が既に確認されていることに注意して下さい」と警鐘を鳴らしました。

また、マルウェア解析プラットフォーム・AnyRunでも、悪意ある行為者がCrowdStrikeになりすましてフィッシングを行おうとしている兆候があることが報告されています。

例えば、サイバーセキュリティ研究者のg0njxa氏は、「CrowdStrike Hotfix」を装ったトロイの木馬のRemcos RATが、オンラインバンキングのユーザーを狙ったフィッシングに用いられていることを報告しました。

ほかにも、CrowdStrikeからのアップデートに偽装したデータワイパーが配布されており、インストールすると端末内のファイルが容量ゼロバイトの空ファイルで上書きされてしまうことが報告されています。

このデータワイパーに関連し、親イランのハクティビスト集団・Handalaが犯行声明を発表し、CrowdStrikeになりすましてデータワイパーを配布するメールをイスラエル企業に送ったと述べました。

以下は、Handalaによってターゲット企業に送られたフィッシングメールです。このメールには、偽のアップデートを適用するための詳細な手順やその配布先のリンクを記載したPDFファイルが添付されていたことが、IT系ニュースサイトのBleepingComputerによって確認されています。

CrowdStrikeはブログで、CrowdStrikeサポートを装ったフィッシングメールやCrowdStrikeのスタッフになりすました電話、問題を自動復旧すると主張するスクリプトの販売などが急増していることを指摘しました。

また、CrowdStrikeのカーツCEOは顧客らに対し、「敵対者や悪意のある者が今回の事件を悪用することが予想されるため、皆様には常に警戒を怠らず、CrowdStrikeの公式担当者と確実に連携することをお勧めします」と呼びかけました。

なお、問題が発生した7月19日にはCrowdStrikeの株価が11.1％下落しました。同社の株価は、問題発生までの12カ月で118％近く上昇していました。