「Emotet」のばらまきメール本文は日本語が流暢に
2019年12月マルウェアレポート
キヤノンマーケティングジャパンは1月31日、「2019年12月マルウェアレポート」を公開した。検出数は減少傾向にあるものの、マルウェア拡散の手段とされている「Emotet」のメール本文が変化が見られるという。
12月のマルウェア動向
2019年12月(12月1日〜12月31日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおり。
国内マルウェア検出数*1の推移 (2019年7月の全検出数を100%として比較) *1 検出数にはPUA(Potentially Unwanted/Unsafe Application:必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含まれる。
2019年12月の国内マルウェア検出数は11月に引き続いて減少。直近6ヵ月間の中で最も検出数の少ない月という。
国内マルウェア検出数*2 上位(2019年12月)| 順位 | マルウェア名 | 割合 | 種別 |
|---|---|---|---|
| 1 | HTML/ScrInject | 17.7% | HTMLに埋め込まれた不正スクリプト |
| 2 | VBA/TrojanDownloader.Agent | 8.4% | ダウンローダー |
| 3 | JS/Adware.Agent | 8.0% | アドウェア |
| 4 | HTML/FakeAlert | 3.2% | 偽の警告文を表示するスクリプト |
| 5 | Win32/Exploit.CVE-2017-11882 | 1.9% | 脆弱性を悪用するマルウェア |
| 6 | GenScript | 1.4% | 不正スクリプトの汎用名 |
| 7 | DOC/Abnormal | 1.4% | トロイの木馬 |
| 8 | HTML/Refresh | 1.4% | 別のページに遷移させるスクリプト |
| 9 | JS/Redirector | 1.3% | 別のページに遷移させるスクリプト |
| 10 | DOC/Fraud | 0.9% | 詐欺サイトのリンクが埋め込まれたdocファイル |
*2 本表にはPUAを含めていない
12月に国内で最も多く検出されたマルウェアは、11月に引き続きHTML/ScrInject。HTML/ScrInjectはHTMLに埋め込まれた不正スクリプトで、ウェブサイト閲覧時に実行される。
2位のVBA/TrojanDownloader.Agentは、Office製品で利用されるプログラミング言語のVBAで作成されたダウンローダー。他のマルウェアをダウンロードすることで知られており、ファイル形式は、WordファイルやExcelファイルであることが大半。
11月の検出数を超える数のVBA/TrojanDownloader.Agentが検出されており、2019年7月と比較すると、4倍以上の検出数となっている。この原因のひとつが「Emotet」による攻撃の増加としている。
VBA/TrojanDownloader.Agentの国内での検出数の推移 (2019年7月の検出数を100%として比較)
VBA/TrojanDownloader.Agentの亜種内訳ではVBA/TrojanDownloader.Agent.QXIが最も多く検出され、その割合はVBA/TrojanDownloader.Agentの検出数のおよそ14.6%。
日本国内におけるVBA/TrojanDownloader.Agentの亜種内訳(12月)
VBA/TrojanDownloader.Agent.QXIは、10月以降被害が増えているEmotetをダウンロードするダウンローダーであり、これ以外にもVBA/TrojanDownloader.Agent.QXFやVBA/TrojanDownloader.Agent.QQXもEmotetのダウンロードを行なうことが確認されている。
VBA/TrojanDownloader.Agent.QXIを実行すると、2019年10月のマルウェアレポートで紹介した6種類の画像のひとつが表示される。
VBA/TrojanDownloader.Agent.QXFとVBA/TrojanDownloader.Agent.QQXを実行すると下記のような画像が表示される。
開いたWordの表示画面
ここからコンテンツを有効化してしまうと、最終的にEmotetへ感染する。感染後は、情報窃取や他のマルウェアをダウンロードされるといった被害を受ける可能性がある。Emotetの詳細については、2019年10月のマルウェアレポートでも紹介している。
「Emotet」のばらまきメール本文の変化
Emotetへの感染被害報告は現在も増えており、主な侵入経路はメールに変わりないが、ばらまきメールの内容に変化が出ている。
2019年10月頃に確認されたメールの中には、「おはようございます」などの一言だけのものや「いつも大変お世話になっております」「衷心より感謝申し上げます」といった定型文が羅列だった。
「Emotet」のばらまきメール本文(2019年10月頃に確認されたもの)
新たに確認されたメールの中には、以前より流暢な日本語の文章で書かれており、内容も文章として成立している。
「Emotet」のばらまきメール本文(2019年12月頃に確認されたもの)
今後さらに日本語へのローカライズが進めば一目で判断することが難しくなる可能性があり、流暢な文章のばらまきメールへの警戒心が薄くなりやすいと考えられる。
また、「メリークリスマス」や「賞与」といったイベントに合わせたメールも確認。「メリークリスマス」が含まれているメールでは、クリスマスに日本でよく利用されるファストフード店の名前を悪用されており、日本語だけでなく日本の習慣や文化にも対応が進んできていると考えられる。
「メリークリスマス」を悪用したばらまきメール本文
「賞与」を悪用したばらまきメール本文
このように、国ごとのイベントや習慣・文化に合わせたメールが送信されており、今後もイベントに合わせたメールが新たに出てくる可能性があるという。
スペイン語で書かれた「昇給」を悪用したばらまきメール本文(日本語訳は自動翻訳を少し整形したもの)
キヤノンマーケティングジャパンでは、ESET製品の検出エンジン(ウイルス定義データベース)を最新にアップデート、OSのアップデートやセキュリティーパッチの適用、各種アプリのアップデートによる脆弱性を解消、データのバックアップといった対応のほか、「脅威の存在を知らない人」がいることを忘れずに、「あらかじめ脅威を知っておく」ことが重要としている。
2019年上半期マルウェアレポートは、下記のリンク先サイトから無償でダウンロードできる。