キヤノンMJ/サイバーセキュリティ情報局

最も多く検出されたのはJS/Adware.Agent、ESET「2021年1月~2月 マルウェアレポート」

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「2022年1月・2月 マルウェアレポート」を再編集したものです。

 2022年1月(1月1日~1月31日)と2月(2月1日~2月28日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。

国内マルウェア検出数*1の推移(2021 年 9 月の全検出数を 100%として比較)
*1 検出数には PUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンス に悪影響を及ぼす可能性があるアプリケーション)を含めています

 2022年1月と2月の国内マルウェア検出数は、2021年12月と比較して微減しました。検出されたマルウェアの内訳は以下のとおりです。

 国内マルウェア検出数*2上位(2022年1月・2月)

順位 マルウェア 割合 種別
1 JS/Adware.Agent 10.9% アドウェア
2 HTML/Phishing.Agent 9.6% メールに添付された不正なHTMLファイル
3 HTML/ScrInject 8.0% HTMLに埋め込まれた不正スクリプト
4 JS/Adware.Sculinst 7.5% アドウェア
5 HTML/FakeAlert 5.4% 偽の警告文を表示させるHTMLファイル
6 JS/Adware.TerraClicks 5.0% アドウェア
7 DOC/TrojanDownloader.Agent 3.1% ダウンローダー
8 JS/ScrInject 2.1% 不正なJavaScriptの汎用検出名
9 MSIL/Kryptik 1.8% 難読化されたMSILで作成されたファイルの汎用検出名
10 JS/Adware.Subprop 1.6% アドウェア

 国内マルウェア検出数*2上位(2022 年 1 月)

順位 マルウェア 割合 種別
1 HTML/ScrInject 12.8% HTMLに埋め込まれた不正スクリプト
2 JS/Adware.Agent 12.0% アドウェア
3 HTML/Phishing.Agent 9.2% メールに添付された不正なHTMLファイル
4 JS/Adware.Sculinst 7.7% アドウェア
5 HTML/FakeAlert 6.0% 偽の警告文を表示させるHTMLファイル
6 JS/Adware.TerraClicks 4.4% アドウェア
7 JS/Adware.Subprop 2.1% アドウェア
8 JS/ScrInject 2.1% 不正なJavaScriptの汎用検出名
9 MSIL/Kryptik 1.6% 難読化されたMSILで作成されたファイルの汎用検出名
10 JS/Agent 1.2% 不正なJavaScriptの汎用検出名

 国内マルウェア検出数*2上位(2022 年 2 月)

順位 マルウェア 割合 種別
1 HTML/Phishing.Agent 22.1% メールに添付された不正なHTMLファイル
2 JS/Adware.Agent 12.5% アドウェア
3 JS/Adware.Sculinst 8.3% アドウェア
4 JS/Adware.TerraClicks 4.2% アドウェア
5 DOC/TrojanDownloader.Agent 3.5% ダウンローダー
6 HTML/FakeAlert 2.4% 偽の警告文を表示させるHTMLファイル
7 HTML/ScrInject 1.5% HTMLに埋め込まれた不正スクリプト
8 GenScript 1.3% 不正スクリプトの汎用名
9 VBA/TrojanDownloader.Agent 1.1% ダウンローダー
10 JS/ScrInject 0.9% 不正なJavaScriptの汎用検出名
*2本表にはPUAを含めていません。

 1月と2月に国内で最も多く検出されたマルウェアは、JS/Adware.Agentでした。

 JS/Adware.Agentは、悪意のある広告を表示させるアドウェアの汎用検出名です。Webサイト閲覧時に実行されます。

 2021年11月にEmotetが活動再開して大きな話題となりましたが、2022年1月と2月も11月に引き続き観測されています。特に2月以降は、急速に感染拡大している状況が確認されています。例えばJPCER T/CCは、Emotetに感染したことでメール送信に悪用される可能性のある.jpドメインのメールアドレス数について報告しています*3。この報告によると、該当するメールアドレス数は、2月時点では Emotet の感染が急拡大した2020 年に迫る勢いとなっており、さらに3月に入ると 2020年の感染ピーク時の 5 倍以上に急増しています。

 また2021年11月マルウェアレポートの中で、Emotetダウンローダーの検出名を紹介しましたが、これらの検出数は2月頃から急激に増加しています。特に DOC/TrojanDownloader.Agentについては1月2月の検出数7位に入っており、国内で脅威が拡大していることがわかります。

*3マルウェア Emotet の感染再拡大に関する注意喚起 | 一般社団法人 JPCERT コーディネーションセンター

Emotet ダウンローダーに関連する*4 国内検出数の推移 (2021 年 11 月~2022 年 2 月 28 日)
*4 凡例に示した3つの検出名は、さまざまなマルウェアのダウンローダーに対する検出名です。よって図のデータには、Emotet 以外のマルウェアのダウンローダー検出数を含んでいます。

 2月の急拡大においては、Emotet のばらまきメールとして、以前から観測されているパスワード付きZIP圧縮ファイルが添付されたメールを観測しています。メール本文に記載されたパスワードで圧縮ファイルを解凍すると、Microsoft Officeファイル形式のEmotetダウンローダーが展開されます。

2022年2月に観測したばらまきメールの例

メールに添付されたZIP圧縮ファイルから展開されるEmotetダウンローダーの例

 2021年11月のマルウェアレポートに掲載したダウンローダーの例では、VBAマクロを使用したEmotetのダウンロード処理が実装されていました。しかし、2022年2月に広まったダウンローダーの一部には、Excel 4.0マクロによって実装されているファイルも確認しています。上記の画像で示したダウンローダーもその1つです。

 Excel 4.0マクロとは別名XLMとも呼ばれ、VBA の実装以前から存在するマクロです。VBE(Visual Basic Editor)に記述するVBAとは異なり、マクロシートと呼ばれるシートのセル内にコードを記述します。Microsoft ExcelにVBAが実装された後も、互換性維持の目的で Excel 4.0マクロは機能を残しています。そのため、セキュリティ製品による検出から逃れたり、マルウェア解析者による解析を困難にしたりする目的で、この機能をマルウェアに悪用されることがあります。

 画像のダウンローダーの例では、「Sheet」という名前のシート以外に、いくつかのシートが非表示として設定されています。これはターゲットとなるユーザーから、マクロが記述されたシートの存在を隠ぺいする目的があると考えられます。

非表示設定がされているシートの一覧

 さらに非表示シートの1つである「EFWFSFG」を表示すると、「Auto_Open」と呼ばれる組み込み関数が、D1セルに設定されていることを確認できます。この「Auto_Open」により、同じD列に記述されている難読化が施されたコードが、Excelファイルを開いてコンテンツの有効化を行った際に自動で実行されます。

ファイルの作成者によって定義された名前の一覧

マクロシートのセルに記述されている難読化が施されたコード

 Excel 4.0マクロの解析ツール*5を使用してコードの詳細を見てみると、以下の処理が行われることがわかります。

① Win32のAPI関数であるURLDownloadToFileAを呼び出し、通信先から取得したデータをaua.ocxというファイル名で保存する

② Excel 4.0マクロのCLOSE関数を呼び出し、ワークシートを閉じる

③ aua.ocxをregsvr32.exeによって実行する

 以上のように、Excel 4.0マクロを使用して、マルウェアのダウンローダー機能を実装することができます。また、シートの非表示機能やコードの難読化を行うなど、悪性のファイルであることを判別しにくく、解析が困難になるような工夫も施される場合があります。

*5 Excel 4 Macro Analysis: XLMMacroDeobfuscator | SANS Internet Storm Center

難読化を解除したExcel 4.0マクロのコード

 先述したとおり、2021年11月にEmotetの活動が再開し、さらに2022年2月には脅威が急激に拡大しています。今回紹介したExcel 4.0マクロは、最新のMicrosoft Excelではデフォルトで無効となっている*6ため、被害に遭わないためには早急にアップデートすることが重要です。また、2021年サイバーセキュリティレポートの第2章で言及したように、このようなアップデートによって、攻撃者が使用するダウンローダーに変化が生じる可能性も考えられるため、今後の動向に注意が必要です。

*6 Excel 4.0 (XLM) macros now restricted by default for customer protection | Microsoft Tech Community

■常日頃からリスク軽減するための対策について

 各記事でご案内しているようなリスク軽減の対策をご案内いたします。下記の対策を実施してください。

1.セキュリティ製品の適切な利用

1-1. ESET 製品の検出エンジン(ウイルス定義データベース)をアップデートする

 ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。

1-2. 複数の層で守る

 1つの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。

2.脆弱性への対応

2-1. セキュリティパッチを適用する

 マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行ってください。また、マルウェアの多くが狙う「脆弱性」は、Office製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行ってください。

2-2. 脆弱性診断を活用する

 より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。

3.セキュリティ教育と体制構築

3-1. 脅威が存在することを知る

 「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。

3-2. インシデント発生時の対応を明確化する

 インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。

4.情報収集と情報共有

4-1. 情報収集

 最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。

4-2. 情報共有

 同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとの ISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。

※ESET は、ESET, spol. s r.o.の登録商標です。Microsoft、Windows、ExcelおよびVisual Basicは、米国 Microsoft Corporationの、米国、日本およびその他の国における登録商標または商標です。

引用・出典元

■マルウェア Emotet の感染再拡大に関する注意喚起 | 一般社団法人 JPCERT コーディネーションセンター https://www.jpcert.or.jp/at/2022/at220006.html

■Excel 4 Macro Analysis: XLMMacroDeobfuscator | SANS Internet Storm Center https://isc.sans.edu/forums/diary/Excel+4+Macro+Analysis+XLMMacroDeobfuscator/26110/

■Excel 4.0 (XLM) macros now restricted by default for customer protection | Microsoft Tech Community https://techcommunity.microsoft.com/t5/excel-blog/excel-4-0-xlm-macros-now-restricted-by-defaultfor-customer/ba-p/3057905