ESET/マルウェア情報局
国内マルウェア検出数(2019年7月・8月)、ランサムウェアSodinokibiの脅威を公開
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「2019年7月・8月 マルウェアレポート」を再編集したものです。
ショートレポート「2019年7月・8月マルウェア検出状況」
1. 7月と8月の概況
2.ランサムウェアSodinokibiの脅威
1. 7月と8月の概況について
2019年7月(7月1日〜7月31日)と8月(8月1日~8月31日)にESET製品が国内で検出したマルウェアの検出数は、以下のとおりです。
国内マルウェア検出数*1の推移 (2019年3月の全検出数を100%として比較)
*1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。
2019年7月と8月の国内マルウェア検出数は、6月と比較すると減少しましたが、4月以前と比較すると高い水準にあります。検出されたマルウェアの内訳は以下のとおりです。
国内マルウェア検出数*2 上位(2019年7月・8月)
| 順位 | マルウェア名 | 割合 | 種別 |
|---|---|---|---|
| 1 | JS/Adware.Agent | 16.8% | アドウェア |
| 2 | JS/Adware.Subprop | 8.1% | アドウェア |
| 3 | HTML/ScrInject | 7.5% | HTMLに埋め込まれた不正スクリプト |
| 4 | HTML/IFrame | 4.0% | 別のページに遷移させるスクリプト |
| 5 | HTML/Refresh | 2.0% | 別のページに遷移させるスクリプト |
| 6 | HTML/FakeAlert | 1.7% | 偽の警告文を表示するスクリプト |
| 7 | JS/Redirector | 1.6% | 別のページに遷移させるスクリプト |
| 8 | Win32/Exploit.CVE-2017-11882 | 1.4% | 脆弱性を悪用するマルウェア |
| 9 | PDF/Fraud | 1.3% | フィッシング目的のPDFファイル |
| 10 | Win32/Injector.Autoit | 1.1% | 他のプロセスにインジェクションするマルウェア |
国内マルウェア検出数*2 上位(2019年7月)
| 順位 | マルウェア名 | 割合 | 種別 |
|---|---|---|---|
| 1 | JS/Adware.Agent | 15.8% | アドウェア |
| 2 | JS/Adware.Subprop | 8.8% | アドウェア |
| 3 | HTML/ScrInject | 6.6% | HTMLに埋め込まれた不正スクリプト |
| 4 | HTML/IFrame | 4.2% | 別のページに遷移させるスクリプト |
| 5 | HTML/FakeAlert | 2.3% | 偽の警告文を表示するスクリプト |
| 6 | HTML/Refresh | 2.0% | 別のページに遷移させるスクリプト |
| 7 | JS/Redirector | 1.5% | 別のページに遷移させるスクリプト |
| 8 | Win32/Exploit.CVE-2017-11882 | 1.5% | 脆弱性を悪用するマルウェア |
| 9 | VBA/TrojanDownloader.Agent | 1.4% | ダウンローダー |
| 10 | Win32/Injector.Autoit | 1.3% | 他のプロセスにインジェクションするマルウェア |
国内マルウェア検出数*2 上位(2019年8月)
| 順位 | マルウェア名 | 割合 | 種別 |
|---|---|---|---|
| 1 | JS/Adware.Agent | 17.8% | アドウェア |
| 2 | HTML/ScrInject | 8.6% | HTMLに埋め込まれた不正スクリプト |
| 3 | JS/Adware.Subprop | 7.4% | アドウェア |
| 4 | HTML/IFrame | 3.8% | 別のページに遷移させるスクリプト |
| 5 | PDF/Fraud | 2.0% | フィッシング目的のPDFファイル |
| 6 | HTML/Refresh | 2.0% | 別のページに遷移させるスクリプト |
| 7 | JS/Redirector | 1.7% | 別のページに遷移させるスクリプト |
| 8 | Win32/Exploit.CVE-2017-11882 | 1.3% | 脆弱性を悪用するマルウェア |
| 9 | DOC/Abnormal | 1.1% | ドキュメント形式のマルウェアの汎用名 |
| 10 | HTML/FakeAlert | 1.0% | 偽の警告文を表示するスクリプト |
7月と8月に国内で最も多く検出されたマルウェアは、6月に引き続きJS/Adware.Agentでした。JS/Adware.Agentは不正な広告を表示させるアドウェアで、ウェブサイト閲覧時に実行されます。2番目に多く検出されたJS/Adware.Subpropも同様の動作をするアドウェアです。上位7種までのマルウェアはすべてウェブブラウザー上で実行される脅威で、不正広告やエクスプロイトキットが設置されているサイトに誘導するスクリプト等が該当します。
8位のWin32/Exploit.CVE-2017-11882はMicrosoft Office数式エディターに存在する脆弱性(CVE-2017-11882)を悪用するマルウェアです。今年初めから徐々に検出数が増加し、2019年6月には脆弱性発見時(2017年11月)の検出数を上回りました。CVE-2017-11882に対処した修正プログラムは2017年の11月の時点で公開されましたが、未だにその脆弱性を悪用する攻撃が続いています。お使いのPCに修正プログラムが適用されているかどうか、今一度ご確認下さい。
Win32/Exploit.CVE-2017-11882の検出数(国内) (2017年11月の全検出数を100%として比較)
2.ランサムウェアSodinokibiの脅威
2019年4月以降、Sodinokibi(ESET検出名:Win32/Filecoder.Sodinokibi)と呼ばれるランサムウェアが国内外で猛威を奮っています。
8月の中旬にはアメリカ・テキサス州で23か所の地方自治体がSodinokibiの被害にあったほか、8月末にはアメリカの数百か所以上の歯科医院で同ランサムウェアの感染が発生しています。
Sodinokibiが特に多く検出されている国はアメリカやカナダで、欧州の国々が続きます。
日本においては世界に6番目に多く検出されています。
Win32/Filecoder.Sodinokibiの国別検出数(2019年)
Sodinokibiの特長として、感染経路が多岐にわたることが挙げられます。以下は一例です。
1.メールの添付ファイルを実行する
2.メールに記載されたURLからファイルをダウンロード・実行する
3.Exploit Kit(CVE-2018-4878等を悪用)が設置されたウェブサイトを閲覧する
4.Oracle WebLogic Serverの脆弱性(CVE-2019-2725)を悪用され、攻撃者サーバーからファイルを送り込まれる
ここでは最も代表的な[1.] メールの添付ファイル経由の感染について解説します。 今回確認したメールは実在する運送会社を装っており、出荷ラベルを送付するとの名目で受信者が添付ファイルを開くよう誘導します。
実在の運送会社を騙ったメール
メールに添付されたzipファイルを展開し中にあるexeファイルを実行すると、Sodinokibiランサムウェアに感染します。ディスク上のファイルは暗号化され、拡張子がランダムな英数字(いずれのファイルも同じ)に変更されます。その後、デスクトップの壁紙が変更されます。
Sodinokibi感染後のデスクトップ画面
暗号化されたファイルと同じフォルダーにはテキストファイルが作成されます。テキストファイルの中には、ファイルを元に戻す方法として攻撃者が用意したウェブサイトにアクセスする方法が記載されています。
Sodinokibiのランサムノート(身代金要求文書)
攻撃者のウェブサイトには、身代金の支払い方法と金額が記載されています。
身代金の要求額は0.11862719ビットコイン(2019年9月現在およそ12万9000円)で、7日以内に支払わなかった場合は身代金が倍増すると書かれています。身代金を支払ったとしても、すべてのファイルが元に戻る保証はありません。
身代金支払い用のサイト
Sodinokibiは感染手法が最も洗練されたランサムウェアのひとつです。今後その手法がさらに巧妙化することも考えられます。また、最近のランサムウェアは個人だけではなく、政府機関や医療機関など重要度の高いデータを持つ組織を狙う傾向にあります。重要なデータは頻繁にバックアップを取得し、ネットワークから隔離しておくことを推奨します。
ご紹介したように、7月8月はウェブブラウザーを実行環境とする脅威が多く検出されました。また、Sodinokibiと呼ばれるランサムウェアの被害が世界中で広がっています。常に最新の脅威情報をキャッチアップし、対策を実施していくことが重要です。