キヤノンMJ/サイバーセキュリティ情報局

教育機関を騙るマルスパムが増加、2022年9月マルウェア検出状況

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「2022年9月 マルウェアレポート」を再編集したものです。

 2022年9月(9月1日~9月30日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。

国内マルウェア検出数*1の推移
(2022年4月の全検出数を100%として比較)

*1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。

 2022年9月の国内マルウェア検出数は、2022年8月と比較して増加しました。検出されたマルウェアの内訳は以下のとおりです。

国内マルウェア検出数*2上位(2022年9月)

順位 マルウェア 割合 種別
1 JS/Packed.Agent 14.7% パックされた不正なJavaScriptの汎用検出名
2 HTML/Pharmacy 12.0% 違法薬品の販売サイトに関連するHTMLファイル
3 JS/Adware.Agent 10.3% アドウェア
4 JS/Adware.TerraClicks 9.5% アドウェア
5 HTML/Phishing.Agent 6.0% メールに添付された不正なHTML ファイル
6 JS/Adware.Sculinst 3.3% アドウェア
7 HTML/FakeAlert 3.3% 偽の警告文を表示させるHTML ファイル
8 DOC/Fraud 3.2% 詐欺サイトのリンクが埋め込まれたDOCファイル
9 HTML/ScrInject 2.6% HTMLに埋め込まれた不正スクリプト
10 MSIL/Kryptik 1.8% 難読化されたMSILで作成されたファイルの汎用検出名

*2 本表にはPUAを含めていません。

 9月に国内で最も多く検出されたマルウェアは、JS/Packed.Agentでした。

 JS/Packed.Agentは、パッカーと呼ばれる圧縮ツールを使い、自己解凍形式で圧縮したJavaScriptのマルウェアです。ファイルが圧縮されると符号化により元のデータから変化します。このようにデータを容易に難読化することができるため、パッカーはシグネチャーを基にマルウェアを判定するセキュリティ製品の検出から回避させたり、解析しにくくさせたりする目的で、マルウェアに悪用されることがあります。

 国内マルウェア検出数上位以外の特徴として、9月は国内の教育機関を騙るマルスパムが確認されました。このマルスパムは大学からのプロジェクト依頼という名目で添付ファイルを確認させ、マルウェアへの感染を狙ったものです。メール本文には実在する大学のロゴ画像や所在地などの情報、大学に所属していると思われる研究者の氏名といった内容が盛り込まれており、これは信憑性を高める目的があると推測されます

2022年9月に確認された大学を騙るマルスパム

 上記のメールに添付されたZIPファイルからは、EXEファイルが展開されます。このファイルにはGoogle製のソフトウェアを想起させるアイコンが設定されており、加えて電子署名も付与されています。これはユーザーに対して信頼できるソフトウェアであると誤認させることと、セキュリティ製品の検出から回避させることを狙ったものであると推測されます。

EXEファイルに設定されたアイコン

EXEファイルに付与されている電子署名

 またこのEXEファイルの内部構造を分析してみると、データセクションに「NullsoftInst」というシグネチャーが確認できます。これはNSIS(Nullsoft Scriptable Install System)*3を使用してWindowsのインストーラーを作成した際に付与される可能性があります。NSISによって作成されたマルウェアについて、ESET製品では「NSIS/」から始まる名称で検出する場合があります。実際に今回のEXEファイルをESET製品でスキャンしてみると、「NSIS/Injector.ASH」という名称で検出されることが分かります。

*3 NSIS Wiki | Source Forge

EXEファイルに含まれるシグネチャー

ESET製品がEXEファイルを駆除した際の通知画面

 今回のNSISによって作成されたEXEファイルは、いくつかのEXEファイルやDLLファイルなどを含めたインストーラーとなっています。このインストーラーが起動されると、内部に含まれたファイルが展開および実行されてマルウェアに感染します。

EXEファイル(インストーラー)に含まれるファイル群(上)と
その中の$PLUGINSDIRフォルダに含まれるファイル群(下)

 今回紹介した教育機関を騙るマルスパムについて、同様の事例が過去にも確認*4されているため、特に対象の機関に在籍している、あるいはその機関と業務で関わりがある場合は注意が必要です。もしこのようなマルスパムを確認した場合、対象機関はホームページなどを通じて関係者に注意喚起を行うことが重要です。マルスパム受信者は正規の相手にメールの送信事実を電話等で確認するといった対応を行ってください。また、誤った判断や誤操作によるマルウェアへの感染に備えて、セキュリティ製品を導入するなどの基本的な対策も併せて実施してください。

*4 東大総長かたるなりすましメールに注意 「ときょ じゃぱん」「地球の世話しなさい︕」など本文に | ITmedia

■常日頃からリスク軽減するための対策について

 各記事でご案内しているようなリスク軽減の対策をご案内いたします。下記の対策を実施してください。

1.セキュリティ製品の適切な利用

1-1. ESET製品の検出エンジン(ウイルス定義データベース)をアップデートする
 ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。
1-2. 複数の層で守る
 1つの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。

2.脆弱性への対応

2-1. セキュリティパッチを適用する
 マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行ってください。また、マルウェアの多くが狙う「脆弱性」は、Office製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行ってください。
2-2. 脆弱性診断を活用する
 より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。

3.セキュリティ教育と体制構築

3-1. 脅威が存在することを知る
 「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。
3-2. インシデント発生時の対応を明確化する
 インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。

4.情報収集と情報共有

4-1. 情報収集
 最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。
4-2. 情報共有
 同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとのISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。

引用・出典元
・NSIS Wiki | Source Forge
 https://nsis.sourceforge.io/Main_Page
・東大総長かたるなりすましメールに注意 「ときょ じゃぱん」「地球の世話しなさい!」など本文に | ITmedia
 https://www.itmedia.co.jp/news/articles/2102/02/news070.html