キヤノンMJ/サイバーセキュリティ情報局
先月に引き継きアドウェアJS/Adware.Agent流行、ESET「2021年10月 マルウェアレポート」
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「2021年10月 マルウェアレポート」を再編集したものです。
2021年10月マルウェア検出状況
2021年10月(10月1日~10月31日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。
国内マルウェア検出数*1の推移
(2021 年 5 月の全検出数を 100%として比較)
2021年10月の国内マルウェア検出数は、2021年9月と比較して減少しました。検出されたマルウェアの内
訳は以下のとおりです。
国内マルウェア検出数*2上位(2021年10月)
| 順位 | マルウェア | 割合 | 種別 |
| 1 | JS/Adware.Agent | 22.3% | アドウェア |
| 2 | HTML/Phishing.Agent | 10.7% | メールに添付された不正なHTMLファイル |
| 3 | JS/Adware.Sculinst | 9.2% | アドウェア |
| 4 | JS/Adware.TerraClicks | 4.8% | アドウェア |
| 5 | JS/Adware.Subprop | 3.3% | アドウェア |
| 6 | JS/Adware.Inpagepush | 1.8% | アドウェア |
| 7 | HTML/FakeAlert | 1.7% | 偽の警告文を表示させるHTMLファイル |
| 8 | JS/Adware.PopAds | 1.5% | アドウェア |
| 9 | HTML/ScrInject | 1.1% | HTMLに埋め込まれた不正スクリプト |
| 10 | Win32/Exploit.CVE-2017-11882 | 0.9% | 脆弱性を悪用するマルウェア |
10月に国内で最も多く検出されたマルウェアは、JS/Adware.Agent でした。
JS/Adware.Agent は、悪意のある広告を表示させるアドウェアの汎用検出名です。ウェブサイト閲覧時に実行されます。
今月は検出数が減少傾向にありましたが、さまざまなマルウェアによる脅威を引き続き検出しています。
そのなかでも、今月は情報窃取型マルウェアのひとつである「AgentTesla」についてご紹介します。
AgentTeslaは、2014年頃から活動しており、MaaS(Malware-as-a-Service)として配布されています。確認されてから7年経っていますが、依然として検出され続けています。
AgentTeslaは、資格情報やCookie情報などの窃取機能や、キーロガー機能を持っています。ほかにも、画面のスクリーンショットやクリップボードの内容を取得する機能を持っています。
電子メールの添付ファイルが、主な感染経路として確認されています。また、添付ファイルには、さまざまな形式のファイルが使われています。さまざまな形式のファイルを利用する理由として、より効果的にユーザーを騙すために変化し続けてきたことやセキュリティ製品を回避することが考えられます。
実際に感染した例では、ダウンローダーは 2 つの段階に分かれて動作していました*3。
ひとつめが、悪意のあるコードのダウンロードサイトへ接続し、コードを実行する段階です。2つめが、AgentTeslaをダウンロード・実行する段階です。また、この段階では、実行環境(サンドボックスや仮想環境かどうか)やデバッガーが実行されているかを確認します。
*3 WeliveSecurity 「Agent Tesla: principales características de este malware」
AgentTeslaのダウンローダーが添付されたメールの一例
ESET製品では、以下のようにファイル形式ごとにAgentTeslaのダウンローダーの検出名が分かれています。
AgentTeslaのダウンローダーの検出名とファイル形式の一例
| ファイル形式 | 検出名*4 |
| exeファイル/rarファイル | MSIL/Spy.Agent.AES MSIL/Kryptik の亜種 (例︓MSIL/Kryptik.ADBB) |
| ppamファイル | VBA/TrojanDownloader.Agent.WJE VBA/TrojanDownloader.Agent.WIK |
| RTFファイル(拡張子が.docとなっている) (VBSファイルが埋め込まれている) |
VBS/TrojanDownloader.Agent.VYW RTF/Agent.A |
| xls ファイル | Win32/Exploit.CVE-2017-11882 |
AgentTeslaのダウンローダーの検出状況(2021年10月・国内)は、以下のとおりです。
AgentTesla のダウンローダー(2021年10月・国内)*5
10月は添付ファイルとしてrarファイルやexeファイルなどが多く利用されていることが分かります。また、検出名は異なりますが、同じ時期に検出されていることが分かります。この傾向の理由のひとつとして、多くのユーザーへの感染を狙ってさまざまなファイル形式で同時期にばらまきメールを送信していることが考えられます。
ご紹介したように、AgentTeslaにはさまざまなダウンローダーが存在しており、感染手法も多岐にわたります。長年使用されている中で、攻撃主体や標的に合わせて変化していると考えられます。
手法以外にも、攻撃者はAgentTeslaの機能更新を行なっており、セキュリティ製品の回避や解析者を妨害するための難読化も使用しています。
このような情報窃取型マルウェアの被害に遭わないためにも、電子メールの添付ファイルを不容易に開かないことが必要です。ほかにもソフトウェアをダウンロードする場合は、信頼できるウェブサイトから行なってください。
情報窃取型マルウェアは自身で感染に気付くことが難しいので、EDR 製品などのセキュリティ製品を導入して正しく運用することが重要です。
■常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。
1. セキュリティ製品の適切な利用
1-1. ESET 製品の検出エンジン(ウイルス定義データベース)をアップデートする
ESET 製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。
1-2. 複数の層で守る
ひとつの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。
2. 脆弱性への対応
2-1. セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行なってください。また、マルウェアの多くが狙う「脆弱性」は、Office 製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行なってください。
2-2. 脆弱性診断を活用する
より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。
3. セキュリティ教育と体制構築
3-1. 脅威が存在することを知る
「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。
3-2. インシデント発生時の対応を明確化する
インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。
4. 情報収集と情報共有
4-1. 情報収集
最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。
4-2. 情報共有
同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとの ISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。
※ESET は、ESET, spol. s r.o.の登録商標です。Windows は、米国 Microsoft Corporation の、米国、日本およびそのほかの国における登録商標または商標です。
引用・出典元
■WeliveSecurity 「Agent Tesla: principales características de este malware」
https://www.welivesecurity.com/la-es/2021/04/28/agent-tesla-principales-caracteristicas-este-malware/