ESET/マルウェア情報局
不正広告表示アドウェア「JS/Adware.Subprop」が検出数1位に(2020年10月マルウェアレポート)
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「2020年10月 マルウェアレポート」を再編集したものです。
2020年10月(10月1日~10月31日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。
国内マルウェア検出数*1の推移(2020年5月の全検出数を100%として比較)
2020年10月の国内マルウェア検出数は、2020年8月と同程度でした。2020年5月の国内検出数を基準とすると、2020年7月に一時的に10%以上減少していますが、それ以外の月はあまり変動がみられません。10月に検出されたマルウェアの内訳は以下のとおりです。
国内マルウェア検出数*2上位(2020年10月)
| 順位 | マルウェア | 割合 | 種別 |
|---|---|---|---|
| 1 | JS/Adware.Subprop | 15% | アドウェア |
| 2 | VBA/TrojanDownloader.Agent | 5% | ダウンローダー |
| 3 | HTML/ScrInject | 5% | HTMLに埋め込まれた不正スクリプト |
| 4 | JS/Adware.Agent | 3% | アドウェア |
| 5 | JS/Adware.PopAds | 3% | アドウェア |
| 6 | HTML/Refresh | 1% | 別のページに遷移させるスクリプト |
| 7 | HTML/Phishing.Agent | 1% | 別のページに遷移させるスクリプト |
| 8 | MSIL/GenKryptik | 1% | 難読化されたMSIL形式ファイルの汎用名 |
| 9 | HTML/Fraud | 1% | 詐欺サイトのリンクが埋め込まれたHTML |
| 10 | Win32/TrojanDownloader.Tiny | 1% | ダウンローダー |
10月に国内で最も多く検出されたマルウェアは、JS/Adware.Subpropでした。また、世界全体でもJS/Adware.Subpropが最も多く検出されました。
本マルウェアは、不正な広告を表示させるアドウェアで、ウェブサイト閲覧時に実行されます。2020年は本マルウェアの検出数が多く、マルウェアレポートでも過去に取り上げています(2020年6月 マルウェアレポート、2020年上半期 マルウェアレポート)。
10月に国内で2番目に多く検出されたマルウェアは、VBA/TrojanDownloader.Agentでした。本マルウェアは、Office製品で利用されるプログラミング言語のVBA(Visual Basic for Applications)で作成されたダウンローダーです。メールに添付されている事例が非常に多く見られます。
VBA/TrojanDownloader.Agent には多くの亜種が存在します。下図は、10月に国内で検出されたVBA/TrojanDownloader.Agent亜種の上位5つの割合を示しています。加えて、各々の亜種がダウンロードする主なマルウェアをまとめています。(VBA/TrojanDownloader.Agentがダウンロードするマルウェアは、通信先や環境、時間によって異なる場合があります。)
VBA/TrojanDownloader.Agent亜種の国内検出割合とダウンロードするマルウェア(10月)
上図から、10月の国内においてVBA/TrojanDownloader.Agentを使用するサイバー攻撃の大半がEmotetの感染を目的とするものであったことがわかります。
バンキングマルウェアのZloader、Ursnif、Dridexは、Emotetが二次的にダウンロードする代表的なマルウェアとしても知られています。これらのマルウェアがEmotetを介さずにVBA/TrojanDownloader.Agentから直接ダウンロードされる事例も、これまでと同様に確認されていました。
下図は、10月の国内におけるVBA/TrojanDownloader.Agent亜種の検出数推移を示しています。下図凡例の表記は、 “VBA/TrojanDownloader.Agent亜種名の末尾3文字(主にダウンロードするマルウェア)”としています。
VBA/TrojanDownloader.Agent亜種の国内検出数推移(10月)
上図より、10月はEmotetを主にダウンロードする亜種の検出数が、数回急増していることがわかります。またEmotet以外にも、Ursnif、Dridex、Zloaderの順番で、VBA/TrojanDownloader.Agentを使用したサイバー攻撃があったことがわかります。
上図の10/28は、その他(灰色)の割合が比較的高いです。その構成を調査した結果、Dridex(Win32/Dridex)と情報窃取などを行うIcedID(Win32/Spy.IcedId)を最終的にダウンロードする複数の亜種が多くを占めていました。
以上より、10月の国内においてVBA/TrojanDownloader.Agent を使用し、Emotetをはじめとする様々なマルウェアの感染を目的とするサイバー攻撃があったことがわかりました。不審なメールに添付されているOffice製品を実行する際は、注意が必要です。
今回ご紹介したように、10月は国内でJS/Adware.SubpropとVBA/TrojanDownloader.Agentが多く検出されました。JS/Adware.Subpropは、2020年を通して世界全体で検出数が多いため、今後も警戒が必要です。
10月に国内で検出されたVBA/TrojanDownloader.Agentの亜種を解析した結果、本ダウンローダーを利用し、Emotetをはじめとする様々なマルウェアの感染を目的とする攻撃があったことがわかりました。
対策として、セキュリティ製品を適切に利用すること、不審なメールの添付ファイルを安易に開かないこと、マクロを安易に有効化しないことなどの対策が重要です。加えて、様々なマルウェアの脅威動向に関する情報を収集し、組織内で共有することも有効です。
■常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。 下記の対策を実施してください。
・ESET製品の検出エンジン(ウイルス定義データベース)を最新にアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新にアップデートしてください。
・OSのアップデートを行ない、セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行ない、脆弱性を解消してください。
・ソフトウェアのアップデートを行ない、セキュリティパッチを適用する
マルウェアの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行ない、脆弱性を解消してください。
・データのバックアップを行なっておく
万が一マルウェアに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。
念のため、データのバックアップを行なっておいてください。
・脅威が存在することを知る
「知らない人」よりも「知っている人」の方がマルウェアに感染するリスクは低いと考えられます。マルウェアという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
※ESETは、ESET, spol. s r.o.の商標です。
引用・出典元
■2020年6月 マルウェアレポート|マルウェア情報局
https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware2006.html
■2020年 上半期マルウェアレポート|マルウェア情報局
https://eset-info.canon-its.jp/malware_info/trend/detail/200917.html
■フィッシングメールによって拡散されたDridexダウンローダーの解析レポート
https://eset-info.canon-its.jp/files/user/malware_info/images/threat/201120/Malware_Report_Dridex_202011.pdf