ESET/マルウェア情報局
2020年9月のマルウェアレポート、Emotetのばらまきメールに注意
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「2020年9月 マルウェアレポート」を再編集したものです。
9月の概況
2020年9月(9月1日〜9月30日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。
国内マルウェア検出数*1の推移
(2020年4月の全検出数を100%として比較)
*1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。
2020年9月の国内マルウェア検出数は、直近6ヵ月のなかで最も多いものとなっています。検出されたマルウェアの内訳は以下のとおりです。
国内マルウェア検出数*2上位(2020年9月)
| 順位 | マルウェア | 割合 | 種別 |
|---|---|---|---|
| 1 | VBA/TrojanDownloader.Agent | 12.3% | ダウンローダー |
| 2 | JS/Adware.Agent | 7.4% | アドウェア |
| 3 | JS/Adware.Subprop | 5.2% | アドウェア |
| 4 | HTML/ScrInject | 3.7% | HTMLに埋め込まれた不正スクリプト |
| 5 | JS/Adware.PopAds | 2.9% | アドウェア |
| 6 | GenScript | 2.5% | 不正スクリプトの汎用名 |
| 7 | HTML/Refresh | 1.7% | 別のページに遷移させるスクリプト |
| 8 | JS/Adware.Inpagepush | 1.2% | アドウェア |
| 9 | MSIL/GenKryptik | 0.8% | 難読化されたMSIL形式ファイルの汎用名 |
| 10 | Suspicious | 0.8% | 未知の不審ファイルの総称 |
9月に国内で最も多く検出されたマルウェアは、VBA/TrojanDownloader.Agentでした。VBA/TrojanDownloader.Agentは、Office製品で利用されるプログラミング言語のVBA(Visual Basic for Application)で作成されたダウンローダーです。主な感染経路は、メールの添付ファイルです。
感染すると、他のマルウェアをダウンロードします。 VBA/TrojanDownloader.Agentによってダウンロードされるマルウェアとして、DridexやEmotetなどが確認されています。
VBA/TrojanDownloader.Agentの検出数の月別推移(国内、2020年)
※2020年4月を100%と設定
国内検出数の月別推移を見ると、9月はVBA/TrojanDownloader.Agentの検出数が急増し、直近6ヵ月のなかで最も検出が多い月となっていることが分かります。増加の原因のひとつは、Emotetの感染を狙ったばらまきメールを多数検出したことです。
■Emotetの感染を狙ったばらまきメールの変化
今月は、Emotetの感染を狙ったばらまきメールに変化が確認されました。添付ファイルに攻撃者自身が設定したパスワード付きzipファイルを利用するといった手法です。過去に確認されたEmotetに感染した端末が持つ添付ファイルの自動暗号化機能によるものとは異なります。IPAからもパスワード付きzipファイルについて注意喚起が行なわれています。
パスワード付きzipファイルを添付したEmotetの感染を狙ったばらまきメール(国内)
zipファイルを展開するためのパスワードはメール本文に書かれています。ファイルを展開すると、Wordファイルが確認できます。これがEmotetのダウンローダーです。
このようにパスワード付きzipファイルを利用するのは、セキュリティ製品による検出回避が主な目的だと考えられます。パスワード付きzipファイルは日本のビジネスメールでもよく利用されるため、多くの人がファイルを実行してしまうことが懸念されます。さらに、添付されているEmotetのダウンローダーであるWordファイルにも変化が確認されています。Wordファイルを開いた時に表示される画面において、今までの英語の文章から日本語の文章になっているものが確認されています。開いたファイルにエラーが生じていると思わせるような日本語の文章を書き、コンテンツの有効化をクリックさせようとしています。
ばらまきメールに添付されていたWordファイルを開いた時の画面
コンテンツの有効化をクリックすると、マクロが実行されPowerShell経由でEmotetに感染します。Emotetに感染すると、追加のモジュールのダウンロードや他のマルウェアに感染する恐れがあります。過去には、ランサムウェアRyukの感染へとつながったケースが確認されています。
今回ご紹介したように、9月はパスワード付きzipファイルが添付されているEmotetの感染を狙ったばらまきメールが確認されています。今後も、言語や環境に合わせて攻撃手法が巧妙化していくことが考えられます。セキュリティ製品の適切な利用や添付ファイルを安易に開かないこと、マクロを有効化しないことなどの対策が重要です。また、Emotetに感染した場合は、他のマルウェアに感染している可能性が高く、Emotetだけではなく追加でダウンロードされたマルウェアにも対処する必要があります。
■常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。
⦁ ESET製品の検出エンジン(ウイルス定義データベース)を最新にアップデートする
E SET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。 最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新にアップデートしてください。
・OSのアップデートを行ない、セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。 「Windows Update」などのOSのアップデートを行ない、脆弱性を解消してください。
・ソフトウェアのアップデートを行ない、セキュリティパッチを適用する
マルウェアの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行ない、脆弱性を解消してください。
・データのバックアップを行なっておく
万が一マルウェアに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。
念のため、データのバックアップを行なっておいてください。
・脅威が存在することを知る
「知らない人」よりも「知っている人」の方がマルウェアに感染するリスクは低いと考えられます。マルウェアという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
※ESETは、ESET, spol. s r.o.の商標です。WindowsおよびPowerShellは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。
この記事の編集者は以下の記事もオススメしています
-
デジタル
今年でサポートが終了するAdobe Flash、利用を続ける危険性 -
デジタル
インターネットエクスプローラーを使い続けることのリスクとは -
デジタル
いまだに危険な「トロイの木馬」とはなにか -
デジタル
ESET、ボットネット「Trickbot」を途絶えさせるための世界規模の取り組みに参加 -
デジタル
便利なマクロ機能にひそむ「マクロウイルス」の危険性とは? -
デジタル
あなたのコンピューターの安全性を高めるサンドボックスの仕組みを解説 -
デジタル
NSAが位置情報トラッキングの制限方法に関するガイダンスを公開 -
デジタル
不正広告表示アドウェア「JS/Adware.Subprop」が検出数1位に(2020年10月マルウェアレポート) -
デジタル
マルウェア「Emotet」が10ヵ月ぶりに活動再開、「2021年11月マルウェアレポート」