キヤノンMJ/サイバーセキュリティ情報局

Emotetに感染させるためのばらまきメールは活動休止中/ダウンローダーは以前として脅威 2022年10月の国内マルウェア検出状況

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「2022年10月マルウェアレポート」を再編集したものです。

 2022年10月(10月1日~10月31日)に ESET 製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。

国内マルウェア検出数*1の推移
(2022年5月の全検出数を100%として比較)

*1 検出数にはPUA(Potentially Unwanted/Unsafe Application:必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。

 2022年10月の国内マルウェア検出数は、2022年9月と比較して微減しました。検出されたマルウェアの内訳は以下のとおりです。

国内マルウェア検出数*2上位(2022 年 10 月)

順位 マルウェア 割合 種別
1 JS/Adware.Agent 12.6% アドウェア
2 JS/Packed.Agent 11.8% パックされた不正なJavaScriptの汎用検出名
3 JS/Adware.TerraClicks 11.8% アドウェア
4 HTML/Pharmacy 8.1% 違法薬品の販売サイトに関連するHTMLファイル
5 HTML/Phishing.Agent 4.5% メールに添付された不正なHTMLファイル
6 HTML/FakeAlert 3.7% 偽の警告文を表示させるHTMLファイル
7 JS/Adware.Sculinst 3.3% アドウェア
8 DOC/Fraud 2.9% 詐欺サイトのリンクが埋め込まれたDOCファイル
9 HTML/ScrInject 2.4% HTMLに埋め込まれた不正スクリプト
10 MSIL/TrojanDownloader.Agent 2.0% ダウンローダー
*2 本表には PUA を含めていません。


 10月に国内で最も多く検出されたマルウェアは、JS/Adware.Agentでした。

 JS/Adware.Agentは、悪意のある広告を表示させるアドウェアの汎用検出名です。ウェブサイト閲覧時に実行されます。

 Emotetに感染させるためのばらまきメールの活動が、2022年7月上旬に停止しています。それに伴い、それらの添付ファイルとして主に利用されていたDOC/TrojanDownloader.AgentやVBA/TrojanDownloader.Agentの検出数は、7月以降減少しています。

DOC/TrojanDownloader.AgentとVBA/TrojanDownloader.Agentの検出数月別推移
(2022年・国内)
※2022年1月の検出数を100%として比較

 しかし、ダウンローダーによる脅威は、依然として検出しています。

 今回は、検出数が増加したMSIL/TrojanDownloader.Agentを紹介します。

 MSIL/TrojanDownloader.Agentは、.NET プラットフォームにおける実行ファイル形式のダウンローダーです。機能を複数に分けてダウンロードするマルウェアなどにおいて利用されていることがあります。実際にダウンロードされるマルウェアも多岐にわたり、「AgentTesla」「Smoke Loader」といった情報窃取型マルウェアのダウンロードを確認しています。

 2022年におけるMSIL/TrojanDownloader.Agentの国内での検出状況は、以下のとおりです。

MSIL/TrojanDownloader.Agentの検出数月別推移(2022年・国内)
※2022年1月の検出数を100%として比較

 2022年のESET社の第1三半期脅威レポートでは、世界全体での検出数増加がトピックとして取り上げられており、日本においても3月に検出数が増加しています。今月は、増加した3月の検出数を上回る結果となっています。AgentTesla、FormBookやSmoke LoaderといったマルウェアをダウンロードするMSIL/TrojanDownloader.Agentの亜種の多数検出が、10月における検出数増加の要因として考えられます。

 今回確認した亜種の中には、実行時にPowerShellが起動し、自身を削除するコマンドを実行するものがありました。コマンドは、Base64 でエンコードされていました。

起動したPowerShellと文字列を Base64 でデコードした結果
※Base64デコードに加えて、UTF-16のデコードを行なっています

 また、MSIL/TrojanDownloader.Agentがアクセスする特徴的な通信先として「cdn[.]discordapp[.]com」から始まるURLを確認しています。このURLは、オンラインチャットアプリの「Discord」でファイル共有した際に作成される URL です。Discord のファイル共有機能を利用すると、ファイル共有用のURLを知っていれば、アカウントを持っていなくてもファイルを受け取ることが可能です。この機能を悪用し、攻撃者が用意した URL にアクセスさせることで、マルウェアや追加のモジュールをダウンロードします。また、ファイル共有で生成されるURLは、Discordの正規ドメインということもあり、セキュリティ製品によるアクセスのブロックをすり抜ける恐れがあります。

 このようなDiscordを用いたマルウェアの配布は、以前から確認されており、最近ではコロンビアにおける njRATマルウェアの配布で利用されていたことがESET社から報告されています。

 今回ご紹介したように、Emotetへの感染を狙ったダウンローダー以外にもさまざまなダウンローダーが検出されています。不審な実行ファイルを実行しないことはもちろんのこと、公式ホームページや公式アプリストアからアプリケーションをダウンロードすることを心掛けてください。また、よく利用するウェブサイトの場合は、ブックマークに登録することも重要です。

■常日頃からリスク軽減するための対策について

 各記事でご案内しているようなリスク軽減の対策をご案内いたします。下記の対策を実施してください。

1.セキュリティ製品の適切な利用
1-1. ESET 製品の検出エンジン(ウイルス定義データベース)をアップデートする

 ESET 製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。

1-2. 複数の層で守る

 1つの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。

2.脆弱性への対応
2-1. セキュリティパッチを適用する

 マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行なってください。また、マルウェアの多くが狙う「脆弱性」は、Office 製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行なってください。

2-2. 脆弱性診断を活用する

 より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。

3.セキュリティ教育と体制構築
3-1. 脅威が存在することを知る

 「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。

3-2. インシデント発生時の対応を明確化する

 インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。

4.情報収集と情報共有
4-1. 情報収集

 最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。

4-2. 情報共有

 同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとの ISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。

※ESET は、ESET, spol. s r.o.の登録商標です。Windows、PowerShell は、米国 Microsoft Corporation の、米国、日本およびその他の国における登録商標または商標です。

引用・出典元
■ESET|ESET Threat Report T1 2022
https://www.welivesecurity.com/wp-content/uploads/2022/06/eset_threat_report_t12022.pdf

■ESET | WeliveSecurity 「Discord: una plataforma atractiva para cibercriminales utilizada más allá de la comunidad gamer」
https://www.welivesecurity.com/la-es/2021/08/19/discord-plataforma-atractiva-cibercriminales-utilizada-comunidad-gamer/

■ESET | WeliveSecurity 「Campaña de espionaje distribuyó el malware njRAT enorganizaciones de Colombia」
https://www.welivesecurity.com/la-es/2022/05/20/campana-espionaje-malware-njrat-organizaciones-colombia/