キヤノンMJ/サイバーセキュリティ情報局
ESET、6月マルウェア検出状況を発表 最も多く検出されたマルウェアは「JS/Adware.Agent」
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「2023年6月 マルウェアレポート」を再編集したものです。
2023年6月(6月1日~6月30日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。
国内マルウェア検出数*1の推移 (2023年1月の全検出数を 100%として比較) *1検出数には PUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。
2023年6月の国内マルウェア検出数は、2023年5月と比較して減少しました。検出されたマルウェアの内訳は以下のとおりです。
| 順位 | マルウェア | 割合 | 種別 |
| 1 | JS/Adware.Agent | 39.5% | アドウェア |
| 2 | HTML/Phishing.Agent | 11.0% | メールに添付された不正なHTMLファイル |
| 3 | DOC/Fraud | 9.7% | 詐欺サイトのリンクが埋め込まれたDOCファイル |
| 4 | JS/Adware.TerraClicks | 7.0% | アドウェア |
| 5 | JS/Adware.Sculinst | 1.7% | アドウェア |
| 6 | JS/Agent | 1.5% | 不正なJavaScriptの汎用検出名 |
| 7 | Win32/Exploit.CVE-2017-11882 | 1.4% | 脆弱性を悪用するマルウェア |
| 8 | HTML/Phishing | 1.0% | 詐欺を目的とした不正なHTMLファイル |
| 9 | PDF/Phishing | 1.0% | 詐欺を目的とした不正なPDFファイル |
| 10 | HTML/Fraud | 0.9% | 詐欺サイトのリンクが埋め込まれたHTMLファイル |
*2本表にはPUAを含めていません。
6月に国内で最も多く検出されたマルウェアは、JS/Adware.Agentでした。
JS/Adware.Agentは、悪意のある広告を表示させるアドウェアの汎用検出名です。Webサイト閲覧時に実行されます。
検出数の最も多いJS形式マルウェア
JS形式マルウェアはJavaScriptで記述されたマルウェアであり、ESET製品においては「JS/」というプレフィックスから始まる検出名が該当します。
6月の概況で示したとおり、国内マルウェア検出数上位10件のうち、JS形式マルウェアが4件と最も多く確認されました。6月の検出数全体で見てもJS形式マルウェアはおよそ60%を占めており、マルウェアとして最も多いファイル形式であることがわかります。
2023年6月の国内におけるファイル形式別のマルウェア検出数の割合
サイバーセキュリティラボが毎年公開している「サイバーセキュリティレポート*3,4」の中で上半期および年間におけるファイル形式別の割合を掲載していますが、国内に限定すると2018年以降はJS形式が最も割合の高いマルウェアとして推移し続けています。
2023年におけるJS形式マルウェアの傾向を見てみると、2022年以前と同様に検出数は最上位を維持し続けています。加えて、検出数の多いファイル形式上位5種*5 のうち、JS形式は検出数が増加傾向にあるマルウェアの1つであることがわかります。
*3 2020年以前は「マルウェアレポート」の名称で公開しています。
*4 「定期レポート」に関する記事一覧 | サイバーセキュリティ情報局
*5 2023年1月~6月における検出数の平均値で算出しました。1位から順にJS形式、HTML形式、DOC形式、Win32形式、MSIL形式の5種が該当します
2023年の国内におけるファイル形式別の検出数推移 (1月のJS形式を100%として比較) (図中の直線は各ファイル形式の線形近似直線を表す)
このように、JS形式マルウェアは国内において長らく脅威が続いているマルウェアであり、2023 年以降は徐々に脅威が拡大しているため警戒が必要です。
JS 形式マルウェアの攻撃対象は広範囲
JS形式マルウェアの検出数が多い要因として、攻撃者にとって多くのユーザーを標的にできることが考えられます。今回は3つの例を紹介します。
1.悪意のあるインターネット広告
Webブラウジングは、多くのユーザーにとって仕事やプライベートに関係なくインターネットに触れる代表的な手段の1つです。現在はWebブラウジング中にインターネット広告を見かけることが一般的となっていますが、この広告に悪意のあるコンテンツを含めることによって不特定多数のユーザーを標的にすることが可能です。6月の国内マルウェア検出数上位に該当する4つのJS形式マルウェアのうち3つがアドウェアであることからも、国内の多くのユーザーにとって脅威となっている様子がわかります。
2.実行環境に応じたマルウェアの配布
JavaScriptはECMAScriptとして標準化*6されており、互換性が高くさまざまなWebブラウザー上で実行することができます。すなわち、さまざまなOSにおいてWebブラウザー上でJavaScriptを実行できることに他なりません。
JavaScriptにおいて、Webブラウザーや OS などの実行環境に関する情報を取得する方法の1つに、Navigator オブジェクト*7 が挙げられます。このオブジェクトを利用することで、実行環境に適したマルウェアペイロードをダウンロードして実行させることができる可能性があります。
*6 TC39 | Ecma International
*7 Navigator - Web API | Mozilla Foundation
実行環境に応じたマルウェア感染のイメージ
3. JavaScriptをマルチプラットフォームで動作させる実行環境の存在
例えばNW.jsは、Node.js*8にWebKit*9の機能を追加した実行環境であり、複数のOS上で動作するマルチプラットフォームの実行環境でもあります。Ransom32と呼ばれるJavaScriptベースのランサムウェア*10は、このNW.js上で動作するように設計されているため、NW.jsがインストールされた環境であればOSに関係なく動作します。このように条件が整っている場合、JS形式マルウェアは複数のOSで動作し得るため標的の範囲が広いマルウェアであると言えます。
*8 クライアントサイドであるブラウザー上で動作するJavaScript を、サーバーサイドで実行できるようにする実行環境です。
*9 Webページを整形して表示するためのHTMLレンダリングエンジンです。
*10 Die erste Ransomware in JavaScript: Ransom32 | Emsisoft
まとめ
今回はJS形式マルウェアについて紹介しました。国内においては最も検出数の多いマルウェアであるため対策は必須です。JS形式はWebブラウザー以外の環境でも実行できる場合があります。よってWebブラウザーを最新の状態に保つこと以外にも、OSのバージョンアップやセキュリティ製品の導入なども実施して、組織の端末を保護するようにしてください。
■常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。下記の対策を実施してください。
1.セキュリティ製品の適切な利用
1-1. ESET製品の検出エンジン(ウイルス定義データベース)をアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。
1-2. 複数の層で守る
1 つの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。
2.脆弱性への対応
2-1. セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行ってください。また、マルウェアの多くが狙う「脆弱性」は、Office製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行ってください。
2-2. 脆弱性診断を活用する
より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。
3.セキュリティ教育と体制構築
3-1. 脅威が存在することを知る
「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。
3-2. インシデント発生時の対応を明確化する
インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。
4.情報収集と情報共有
4-1. 情報収集
最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。
4-2. 情報共有
同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとのISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。
※ESETは、ESET, spol. s r.o.の登録商標です。Windows、および Win32は、米国 Microsoft Corporationの、米国、日本およびその他の国における登録商標または商標です。
引用・出典元
■「定期レポート」に関する記事一覧 | サイバーセキュリティ情報局
https://eset-info.canon-its.jp/keyword_topics_list/?tag_id=200
■TC39 | Ecma International
https://www.ecma-international.org/technical-committees/tc39/
■Navigator - Web API | Mozilla Foundation
https://developer.mozilla.org/ja/docs/Web/API/Navigator
■Die erste Ransomware in JavaScript: Ransom32 | Emsisoft
https://www.emsisoft.com/en/blog/21077/meet-ransom32-the-first-javascript-ransomware/?utm_source=thenewstack&utm_medium=website&utm_content=inline-mention&utm_campaign=platform