キヤノンMJ/サイバーセキュリティ情報局

ESET、9月のマルウェア検出状況を公開 メール添付のドキュメントファイルに注意

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「2023年9月 マルウェアレポート」を再編集したものです。

 2023年9月(9月1日~9月30日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。

国内マルウェア検出数の推移 (2023年4月の全検出数を100%として比較)

 2023年9月の国内マルウェア検出数は、2023年8月と比較して微減しました。検出されたマルウェアの内訳は以下のとおりです。

国内マルウェア検出数上位(2023年9月)
順位 マルウェア 割合 種別
1 DOC/Fraud 21.4% 詐欺サイトのリンクが埋め込まれた
DOCファイル
2 JS/Adware.Agent 15.2% アドウェア
3 HTML/Phishing.Agent 12.0% メールに添付された不正なHTML
ファイル
4 JS/Adware.TerraClicks 7.4% アドウェア
5 JS/Adware.Sculinst 5.2% アドウェア
6 JS/Agent 3.9% 不正なJavaScriptの汎用検出名
7 HTML/Fraud 2.6% 詐欺サイトのリンクが埋め込まれた
HTMLファイル
8 Win32/Exploit.CVE-2017-11882 1.8% 脆弱性を悪用するマルウェア
9 JS/Adware.Subprop 1.3% アドウェア
10 MSIL/TrojanDownloader.Agent 1.2% ダウンローダー

 9月に国内で最も多く検出されたマルウェアは、DOC/Fraudでした。

 DOC/Fraudは、詐欺サイトへのリンクまたは詐欺を目的とした文章が書かれているWordファイルです。主にメールの添付ファイルとして確認されており、2023年ではセクストーション(性的脅迫)を目的としたものが確認されています

Qakbotボットネットのテイクダウン

 2023年8月29日、アメリカ連邦捜査局(FBI)と司法省(DOJ)はフランス、ドイツ、オランダ、ルーマニア、ラトビアと協力し、マルウェアQakbot(クアックボット)のボットネットを解体する多国籍作戦(Operation Duck Hunt)を実施したと公表しました。この作戦は、多数の被害を出しているQakbotボットネットのインフラを解体することを目的とした作戦です。この作戦によって、70万台以上の感染が疑われる端末が特定され、Qakbotのアンインストールが行われました。加えて、Qakbotのアクターから約900万ドル(約13億4,770万円相当)の暗号資産(仮想通貨)を押収しています。ほかにも、Qakbotアクターによって侵害されたアカウント資格情報が特定され、無償のデータ漏えいチェックサイトであるHave I Been Pwnedへ提供されています。

 Qakbotをアンインストールするために、FBIはボットネットの通信をFBI管理のサーバーへリダイレクトするように変更し、法執行機関が作成したアンインストーラーを感染端末にダウンロードしました。このアンインストーラーは、感染端末をボットネットから切り離し、Qakbotを介した更なるマルウェアのダウンロードを防ぐように設計されています。アメリカのCISA(Cybersecurity and Infrastructure Security Agency)から今回の作戦に関連したQakbotの詳細情報やIoCが提供されています。

 この作戦によってテイクダウンされたQakbotは、どのような脅威だったのかを解説します。

Qakbot(クアックボット)について

 Qakbot(別名:Qbot、Pinkslipbot)は、2008年頃から確認されているモジュール型のマルウェアです。モジュールによってさまざまな機能を有することができ、ESET製品ではWin32/QbotやWin64/Qbotとして検出します。Qakbotに感染すると、機密情報の窃取やほかのマルウェアをダウンロードされる被害に遭う可能性があります。実際に、REvilやBlack Basta、Royalといったランサムウェアグループに利用されていました。また、非営利団体のThe Shadowserver Foundationから公開された2019年7月から2023年8月までにQakbotへ感染した端末に関するレポートによると、日本では約40,000台の端末が確認されていました。

 主な感染経路としては、メールに添付されたファイルや本文に書かれたURLが確認されています。ダウンローダーの中には、2022年5月に確認されたWindowsサポート診断ツール(Microsoft Support Diagnostic Tool:MSDT)の脆弱性CVE-2022-30190(Follina)を悪用したものやOneNote形式のファイル、ISOファイルを悪用したものがありました。

Qakbotの検出状況について

 ESET製品によって検出されるQakbot の検出状況の変化をまとめました。以下のグラフは、全世界におけるWin32/QbotとWin64/Qbotの検出数の月別推移です。

Win32/QbotとWin64/Qbotの検出数月別推移(2023年 全世界)
※2023年1月の検出数を100%として比較

 検出数が多かった上半期と比較して、下半期は検出数が減少しています。そして、テイクダウン後の9月は、8月と比較して微減しています。大きな変化が見られない理由として、テイクダウン時に端末がオフラインだったなどの理由によって、アンインストールされずに端末に残ってしまったものが検出された可能性があります。また、ほかのマルウェア経由でQakbotがダウンロードされてしまった可能性も考えられます。現在、Qakbot への感染を狙った大きな活動は確認されていませんが、Qakbot の関係者・関連アクターが活動を継続しているという報告も出ています。今後も検出状況を注視していきます。

テイクダウンされた脅威の復活について

 今回の作戦によってQakbotボットネットは解体されましたが、Qakbotの関係者や関連アクターが活動継続している報告もあります。今後、Qakbotボットネットの活動が再開する恐れがあります。実際に、テイクダウンされた脅威の活動が再開した事例もあります。有名なものとして、RamnitやEmotetが挙げられます。報道でも話題になったEmotetは、2021年1月にテイクダウンされ、2021年11月に活動が再開しています。Ramnitは2015年にテイクダウンされたマルウェアですが、現在も活動が確認されています。実際にESET製品による国内の検出状況は、今月の検出数が2023年を通して最も多くなっていました。検出数全体は多くありませんが、依然として注意が必要です。

まとめ

 Qakbotボットネットが8月にテイクダウンされました。この作戦によって大きな脅威の1つが解体され、ランサムウェアといったほかのマルウェアをダウンロードされるといった被害が減ることが考えられます。一方、注意すべき点もあり、「Qakbot ボットネットを再形成するためにばらまきメールやフィッシングメールの配布といった活動」が起きる可能性があります。脅威動向を収集し、組織内へ情報共有・注意喚起を行ってください。

 特に、感染経路がメールの添付ファイルである脅威は、活動再開時に新たなダウンローダーを使用するといった変化が見られることがあります。セキュリティ製品をはじめとしたシステム面の対策に加えて、ユーザーが添付ファイルを実行しないように手法を伝えていく必要があります。そのためにも、IPAやJPCERTをはじめとした機関やセキュリティベンダーから出される注意喚起を確認してください。

■常日頃からリスク軽減するための対策について

 各記事でご案内しているようなリスク軽減の対策をご案内いたします。下記の対策を実施してください。

1.セキュリティ製品の適切な利用
1-1. ESET製品の検出エンジン(ウイルス定義データベース)をアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。

1-2. 複数の層で守る
1つの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。

2.脆弱性への対応
2-1. セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行ってください。また、マルウェアの多くが狙う「脆弱性」は、Office製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行ってください。

2-2. 脆弱性診断を活用する
より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。

3.セキュリティ教育と体制構築
3-1. 脅威が存在することを知る

「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。

3-2. インシデント発生時の対応を明確化する
インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。

4.情報収集と情報共有
4-1. 情報収集

最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。

4-2. 情報共有
同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとのISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。

引用・出典元

■ESET脅威レポート 2023年上半期 | ESET Japan
https://www.eset.com/fileadmin/ESET/JP/Blog/threat-report/H1-2023_Threat-Report_JP_FINAL.pdf

■Qakbot Malware Disrupted in International Cyber Takedown | U.S. Department of Justice
https://www.justice.gov/opa/pr/qakbot-malware-disrupted-international-cyber-takedown

■have I been pwned | have I been pwned
https://haveibeenpwned.com/

■Check your hack | Dutch National Police
https://www.politie.nl/en/information/checkyourhack.html#check

■FBI, Partners Dismantle Qakbot Infrastructure in Multinational Cyber Takedown | FBI
https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastructure-in-multinational-cyber-takedown

■Qbot/QakBot Malware | CISA
https://www.cisa.gov/resources-tools/resources/qbotqakbot-malware

■Qakbot Historical Bot Infections Special Report | The Shadowserver Foundation
https://www.shadowserver.org/news/qakbot-historical-bot-infections-special-report/

■Windowsの脆弱性「Follina」が招いた危険性 | サイバーセキュリティ情報局
https://eset-info.canon-its.jp/malware_info/special/detail/230411.html

■Identification and Disruption of QakBot Infrastructure | CISA
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-242a

■Qakbot-affiliated actors distribute Ransom Knight malware despite infrastructure takedown | Cisco Talos
https://blog.talosintelligence.com/qakbot-affiliated-actors-distribute-ransom/