こんにちは、稗田利明です！

株式会社ラックは、2023年夏ごろから観光業を狙ったサイバー攻撃が増加しているとして、手口や対策について情報を公開し、注意喚起を行いました[1][2][3][5]。

攻撃手口は、ホテルに予約客を

装ったメールを送付するもので、同社では、コロナ禍から回復中の観光業を標的とし、従業者のホスピタリティを逆手に取ったものであるとしています[1][2][3]。攻撃メールには、予約客を装った英文のメッセージが含まれており、その中には、実行形式のマルウェアのファイルが含まれた圧縮ファイルへのリンクが含まれていることがあります[1][2][3]。このファイルをダウンロードして解凍すると、無害な写真や動画などに混じって、実行形式のマルウェアのファイルがあるため、注意が必要です[1][2][3]。

攻撃者は、感染した端末から認証情報などを盗み出し、宿泊予約サイトにアクセスして、実際の予約者に対してフィッシングサイトに誘導するメッセージを送ることがあります[1][2][3]。同社では、このような被害に対する対策として、従業員のリテラシー向上策や、WindowsやOffice製品などのソフトウェアを常に最新の状態にすること、ウイルス対策ソフトを導入してパターンファイルを常に最新の状態に保つこと、資産管理ソフトウェアやMDM（Mobile Device Management）などの製品を導入し、社内のIT資産の状態を把握できるようにすることを挙げています[1][2][3]。

同社では、このような攻撃を行う攻撃者集団の素性については分からないが、窃取したクレジットカード情報を売買するなどの方法で金銭を得ることを目的にしているのではないかとしています[1][3]。

【注意喚起の対策】
- 安易に「マクロを有効にする」「コンテンツの有効化」などのボタンを押さないこと
- PCでファイル名の拡張子の表示を有効にし、二重拡張子（「.pdf.exe」のように、ファイル名に複数の拡張子が付けられているファイル）に注意すること
- メール内のリンクからダウンロードされたファイルのサイズが数百MBから数GBと大きすぎる場合は不審なので注意すること[1][2][3]

【システム部門が考慮すべき対策】
- EDR製品の導入
- 予約管理サイトの管理アカウントへの他要素認証の導入[1][3]

Citations:
[1] https://internet.watch.impress.co.jp/docs/news/1542631.html
[2] https://www.lac.co.jp/lacwatch/alert/20231023_003546.html
[3] https://japan.zdnet.com/article/35210627/
[4] https://www.dekyo.or.jp/soudan/contents/news/news.html
[5] https://www.asahi.com/and/pressrelease/424146237/
[6] https://twitter.com/lac_security