ESET/マルウェア情報局
アドウェア「JS/Adware.Subprop」がまたもや検出数1位に(2020年11月マルウェアレポート)
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「2020年11月マルウェアレポート」を再編集したものです。
2020年11月(11月1日〜11月30日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。
国内マルウェア検出数*1の推移
(2020年6月の全検出数を100%として比較)
2020年11月の国内マルウェア検出数は、検出数が減少した10月と変わって増加しました。検出されたマルウェアの内訳は以下のとおりです。
| 順位 | マルウェア | 割合 | 種別 |
|---|---|---|---|
| 1 | JS/Adware.Subprop | 19.3% | アドウェア |
| 2 | HTML/ScrInject | 16.1% | HTMLに埋め込まれた不正スクリプト |
| 3 | JS/Adware.TerraClicks | 4.0% | アドウェア |
| 4 | JS/Adware.PopAds | 2.7% | アドウェア |
| 5 | JS/Agent.OAY | 2.4% | 不正なJavaScriptの汎用検出名 |
| 6 | JS/Adware.Agent | 2.2% | アドウェア |
| 7 | VBA/TrojanDownloader.Agent | 2.0% | ダウンローダー |
| 8 | HTML/Fraud | 1.2% | 詐欺サイトのリンクが埋め込まれたHTML |
| 9 | HTML/Phishing.Agent | 1.2% | 別のページに遷移させるスクリプト |
| 9 | MSIL/GenKryptik | 0.8% | 難読化されたMSIL形式ファイルの汎用名 |
11月に国内で最も多く検出されたマルウェアは、JS/Adware.Subpropでした。JS/Adware.Subpropは不正な広告を表示するアドウェアのひとつです。JS/Adware.Subpropは、偽のAdobe Flash Playerのアップデートや有名ベンダーのウェブバナーを悪用して、悪意のあるコンテンツや不要なソフトウェアを配布します。
検出数上位10種の内、8種がウェブブラウザー上で実行される脅威です。検出数第5位のJS/Agent.OAYは、Webページ内のリンクへアクセスする機能とリダイレクト機能を持つJavaScriptで書かれたスクリプトです。
JS.Agent.OAYの日別検出数の推移(国内、2020年)
検出数の推移を見ると、11月後半から検出数が増加しています。主な原因として、設置されたウェブページやリンク元となるウェブページの増加などが考えられます。
JS/Agent.OAYの設置例
JS/Agent.OAYの感染経路の一例と主な動作について説明します。感染経路のひとつ目は、放棄されたドメインを再取得しスクリプトを埋め込むケース(上図①)が考えられます。2つ目は、既存のウェブページを改ざんしてスクリプトを埋め込むケース(上図②)が考えられます。放棄されたドメインを再取得することで、別のウェブページのリンクからのアクセスを悪用し、悪意のあるウェブページへ誘導しようとしています。また、多くの人から悪意のあるウェブページにアクセスしてもらうために検索エンジンで上位に表示されることも狙っていると考えられます。
JS/Agent.OAYのリダイレクト先のURLが書かれたコードのサンプル
上図のサンプルが実行されると、URLの通信プロトコルを確認します。確認したプロトコルとスクリプト内に書かれたURLの一部と合わせてURLを完成させます。
他にもウェブページのURLやリンク元の情報を確認します。指定したURL先に対して、確認した情報とスクリプト内に書き込まれた文字列を送信します。
JS/Agent.OAYのHTTP通信を確立させるためのコードのサンプル
通信方法として、XDomainRequestとXMLHttpRequestをユーザーが使うブラウザーによって使い分けています。ユーザーが、Internet Explorer 8~11を使っている場合は前者で通信を確立させます。それ以外のブラウザーの場合は、後者を使います。多くのユーザーを対象とするため、様々なブラウザーやバージョンで実行可能にしていると考えられます。
改ざんされたウェブページに置かれた悪意のあるスクリプトによる想定被害例
今回のようなウェブページに置かれた悪意のあるスクリプトは、アクセスすると同時に実行されます。実行後は、攻撃者の用意したウェブページへリダイレクトします。リダイレクト先では、悪意のあるコンテンツ(マルウェアを含む)のダウンロードやCookieなどの情報を窃取される恐れがあります。
今回ご紹介したように、11月はウェブブラウザー上で実行される脅威を多数検出しています。検出数第1位だったJS/Adware.Subpropは勿論のこと、検出数が増加しているJS/Agent.OAYなどの悪意のあるスクリプトにも注意が必要です。このようなスクリプトに気づくことは困難です。スクリプトが実行されると、悪意のあるコンテンツのダウンロードやCookieなどの情報を窃取される恐れがあります。このような脅威の被害に遭わないためにも、セキュリティ製品の正しい運用や使用するウェブブラウザーのバージョンや脆弱性に注意することが重要です。また、Webページを運営する際は、ドメインの取得・廃棄などの管理に注意してください。
■常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。
・ESET製品の検出エンジン(ウイルス定義データベース)を最新にアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新にアップデートしてください。
・OSのアップデートを行ない、セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行ない、脆弱性を解消してください。
・ソフトウェアのアップデートを行ない、セキュリティパッチを適用する
マルウェアの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。各種アプリのアップデートを行ない、脆弱性を解消してください。
・データのバックアップを行なっておく
万が一マルウェアに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。念のため、データのバックアップを行なっておいてください。
・脅威が存在することを知る
「知らない人」よりも「知っている人」の方がマルウェアに感染するリスクは低いと考えられます。マルウェアという脅威に触れてしまう前に「疑う」ことができるからです。弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。