キヤノンMJ/サイバーセキュリティ情報局

医薬品スパムメールで誘導される「HTML/Pharmacy」が急上昇 2022年6月マルウェア検出状況

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「2022年6月 マルウェアレポート 」を再編集したものです。

2022年6月(6月1日~6月30日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。

国内マルウェア検出数の推移(2022年1月の全検出数を100%として比較)

 2022年6月の国内マルウェア検出数は、2022年5月と比較して増加しました。検出されたマルウェアの内訳は以下のとおりです。

国内マルウェア検出数上位(2022年6月)

順位 マルウェア 割合 種別
1 JS/Adware.TerraClicks 17.4% アドウェア
2 DOC/TrojanDownloader.Agent 12.7% ダウンローダー
3 HTML/Pharmacy 8.3% 違法薬品の販売サイトに関連するHTMLファイル
4 JS/Adware.Agent 8.0% アドウェア
5 JS/Packed.Agent 4.0% パックされた不正なJavaScriptの汎用検出名
6 HTML/FakeAlert 3.0% 偽の警告文を表示させるHTMLファイル
7 JS/Adware.Sculinst 2.6% アドウェア
8 LNK/TrojanDownloader.Agent 2.5% ダウンローダー
9 HTML/Phishing.Agent 2.3% メールに添付された不正なHTMLファイル
10 HTML/ScrInject 2.3% HTMLに埋め込まれた不正スクリプト
※本表にはPUAを含めていません。


 6月に国内で最も多く検出されたマルウェアは、JS/Adware.TerraClicksでした。

 JS/Adware.TerraClicksは、ウェブサイト閲覧時に実行されるアドウェアです。感染すると、アドウェアサイトへのリダイレクト、アドウェアコンテンツの配布やブラウザー拡張機能としてアドウェアをインストールするなどの被害を生じさせる可能性があります。

 6月の国内マルウェア検出数の3位はHTML/Pharmacyですが、これは5月の国内マルウェア検出数でも2位となっており、高い検出数を維持しています。HTML/Pharmacyは違法な医薬品(表示成分が含まれていない医薬品、表示にない成分が含まれている医薬品、未承認の医薬品などが該当)を販売する詐欺サイトであり、スパムメールのURLリンクにアクセスした場合やウェブサイト閲覧時に表示される広告経由でアクセスした場合に検出する可能性があります。

5月および6月の国内におけるHTML/Pharmacy検出数の推移

 スパムメールを例にすると、ビタミン剤や治療薬といったユーザーが興味を惹く医薬品についての内容がメール本文に記載されています。また、期間限定の案内または割引価格である旨が記載されている場合もあり、ヘルスケアに興味のあるユーザーに対してURLリンクをクリックさせようと誘導している意図が推測されます。 メール本文中のURLリンクにアクセスすると、オンラインの医薬品販売サイトと思われるウェブページが表示されます。

HTML/Pharmacyに関連するスパムメールの例

スパムメール内のURLリンク接続先の例

 スパムメールやURLリンクの接続先ページに「Canadian Pharmacy」あるいは「Canadian Online Pharmacy」というキーワードが見受けられます。この「Canadian Pharmacy」は、2010年10月まで活動していた「Spamit」と呼ばれる組織がスパムメール配信者にアフィリエイトプログラムとして提供していたコンテンツのひとつとして知られています(※1)。スパムメールが送信される方法の1つとして、マルウェアに感染した端末によって形成されるBotnetから送信される方法が挙げられますが、中でも「Rustock」と呼ばれたBotnetは、「Spamit」が提供していた医薬品関連のコンテンツを多く送信していました。Rustock Botnetは2011年にテイクダウンされており(※2)、この他にも多くのBotnetが今日までにテイクダウンされてきました。この結果、スパムメール配信量は2011年をピークに減少傾向にあります(※3)。しかし依然としてスパムメールは観測され続けているため注意が必要です。


※1:世界のスパム流通量が突然激減、その理由は? | ITmedia エンタープライズ
   Spam Affiliate Program Spamit.com to Close | Krebs on Security


※2:Download Rustockの脅威との闘い from Official Microsoft Download Center | Microsoft


※3:電気通信事業者10社の全受信メール数と迷惑メール数の割合 | 総務省

2009年から2021年の国内における1日当たりのスパムメール受信件数 (総務省の統計から作成)

 前述のとおり、2022年6月は違法な医薬品を販売するウェブサイトの検出数が多く観測されました。このようなウェブサイトで医薬品を購入すると、予期せぬ健康被害を受けたり、金銭詐欺にあったりする可能性があります。また、何らかのマルウェアに感染して組織の端末がBotnetに組み込まれると、スパムメールを送信する加害者となってしまう恐れもあります。よって不審なメールのURLリンクや添付ファイルを安易にクリックしない、EDR製品を導入してマルウェア感染にいち早く気づく仕組みを作るなど、個人および組織レベルで対策を講じることが重要です。

■常日頃からリスク軽減するための対策について

 各記事でご案内しているようなリスク軽減の対策をご案内いたします。下記の対策を実施してください。

1.セキュリティ製品の適切な利用
1-1. ESET製品の検出エンジン(ウイルス定義データベース)をアップデートする

 ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。

1-2. 複数の層で守る

 ひとつの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。

2.脆弱性への対応
2-1. セキュリティパッチを適用する

 マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行ってください。また、マルウェアの多くが狙う「脆弱性」は、Office製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行ってください。

2-2. 脆弱性診断を活用する

 より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。

3.セキュリティ教育と体制構築
3-1. 脅威が存在することを知る

 「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。

3-2. インシデント発生時の対応を明確化する

 インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。

4.情報収集と情報共有
4-1. 情報収集

 最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。

4-2. 情報共有

 同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとのISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。

※ESETは、ESET, spol. s r.o.の登録商標です。Microsoft、Windowsは、米国Microsoft Corporationの、米国、日本およびその他の国における登録商標または商標です。

引用・出典元
・界のスパム流通量が突然激減、その理由は? | ITmedia エンタープライズ
 https://www.itmedia.co.jp/enterprise/articles/1010/07/news017.html
・Spam Affiliate Program Spamit.com to Close | Krebs on Security
 https://krebsonsecurity.com/2010/09/spam-affialite-program-spamit-com-to-close/
・Download Rustockの脅威との闘い from Official Microsoft Download Center | Microsoft
 https://www.microsoft.com/ja-jp/download/details.aspx?id=26673
・電気通信事業者 10社の全受信メール数と迷惑メール数の割合 | 総務省
 https://www.soumu.go.jp/main_content/000693529.pdf