ESET/マルウェア情報局
メール添付ファイルによる脅威を多数確認(2020年12月マルウェアレポート)
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「2020年12月 マルウェアレポート」を再編集したものです。
2020年12月(12月1日〜12月31日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。
国内マルウェア検出数*1の推移(2020年7月の全検出数を100%として比較)
2020年12月の国内マルウェア検出数は、増加しました。直近6ヵ月のなかで最も多い検出数となっています。検出されたマルウェアの内訳は以下のとおりです。
国内マルウェア検出数*2上位(2020年12月)
| 順位 | マルウェア | 割合 | 種別 |
|---|---|---|---|
| 1 | JS/Adware.Agent | 10.3% | アドウェア |
| 2 | JS/Agent.OAY | 8.0% | 不正なJavaScriptの汎用検出名 |
| 3 | HTML/Phishing.Agent | 7.3% | 別のページに遷移させるスクリプト |
| 4 | JS/Adware.Subprop | 4.9% | アドウェア |
| 5 | JS/Adware.TerraClicks | 4.5% | アドウェア |
| 6 | HTML/ScrInject | 3.1% | HTMLに埋め込まれた不正スクリプト |
| 7 | JS/Adware.PopAds | 1.7% | アドウェア |
| 8 | VBA/TrojanDownloader.Agent | 1.7% | ダウンローダー |
| 9 | HTML/Fraud | 0.6% | 詐欺サイトのリンクが埋め込まれたHTML |
| 10 | MSIL/GenKryptik | 0.5% | 難読化されたMSILで作成された ファイルの汎用名 |
12月に国内で最も多く検出されたマルウェアは、JS/Adware.Agentでした。JS/Adware.Agentは、不正な広告を表示させるアドウェアの汎用検出名です。JS/Adware.Agentは、ウェブブラウザー上で実行されます。
今月はメールの添付ファイルによる脅威を多数確認しています。8位のVBA/TrojanDownloader.Agentは、Office製品で利用されるプログラミング言語のVBA(Visual Basic for Applications)で作成されたダウンローダーです。
VBA/TrojanDownloader.Agentは、主にメールの添付ファイルとして確認されています。
VBA/TrojanDownloader.Agentには、多数の亜種が存在しています。12月に検出数が多く確認されたVBA/TrojanDownloader.Agent亜種の日別検出数の推移は以下のとおりです。4つの時期において、検出数の増加が確認できます。4つの期間に多く検出された亜種がダウンロードする主なマルウェアは以下のとおりです。ダウンロードするマルウェアとして、現時点ではDridexやEmotetなどを確認しています。
VBA/TrojanDownloader.Agent亜種の日別検出数推移
※グラフ内の亜種名は一部省略しています。
VBA/TrojanDownloader.Agentの亜種とダウンロードする主なマルウェア
VBA/TrojanDownloader.Agentの亜種である添付ファイルを開くと以下の画面が表示されます。今回確認したサンプルでは、ExcelファイルとWordファイルを確認しています。
VBA/TrojanDownloader.Agentのサンプルを開いた時の表示画面
Excelファイルは、請求書を装ってコンテンツの有効化をクリックさせようとしています。Wordファイルも、コンテンツの有効化をクリックさせようと誘導しています。
そのコンテンツの有効化をクリックすることで、マクロが実行されます。最終的に他のマルウェアをダウンロードします。ダウンロードされるマルウェアとして、今回のようなDridexやEmotetなどが挙げられます。
また、DridexやEmotetはモジュール式のマルウェアです。それぞれで追加するモジュールは異なりますが、様々な機能の追加が可能です。追加される機能によって、被害も様々想定されます。また、他のマルウェアをダウンロードする恐れがあります。
今回ご紹介したように、12月はメールの添付ファイルによる脅威を多数検出しています。
VBA/TrojanDownloader.Agentはマクロを有効化することで他のマルウェアをダウンロードします。また、様々なマルウェアをダウンロードすることが確認されています。
このような脅威の被害に遭わないためにも、セキュリティ製品の正しい運用やマクロが無効になっているかを確認することが重要です。他にも、ダウンロードされるマルウェアに対しての個別の対策も必要です。
■常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。
1. ESET製品の検出エンジン(ウイルス定義データベース)を最新にアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新にアップデートしてください。
2. OSのアップデートを行ない、セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行ない、脆弱性を解消してください。
3. ソフトウェアのアップデートを行ない、セキュリティパッチを適用する
マルウェアの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行ない、脆弱性を解消してください。
4. データのバックアップを行なっておく
万が一マルウェアに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。 念のため、データのバックアップを行なっておいてください。
5. 脅威が存在することを知る
「知らない人」よりも「知っている人」の方がマルウェアに感染するリスクは低いと考えられます。マルウェアという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
引用・出典元:マルウェア情報局 「フィッシングメールによって拡散されたDridexダウンローダーの解析レポートを公開」
https://eset-info.canon-its.jp/malware_info/trend/detail/201120.html