ESET/サイバーセキュリティ情報局
10月に最も多く検出されたマルウェアはJS/Adware.TerraClicks 2024年10月マルウェアレポート
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「2024年10月 マルウェアレポート」を再編集したものです。
2024年10月(10月1日~10月31日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。
国内マルウェア検出数※1の推移(2024年5月の全検出数を100%として比較)
※1:検出数にはPUA(Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。
2024年10月の国内マルウェア検出数は、2024年9月と比較して微減しました。検出されたマルウェアの内訳は以下のとおりです。
国内マルウェア検出数※2 上位(2024年10月)
| 順位 | マルウェア | 割合 | 種別 |
| 1 | JS/Adware.TerraClicks | 24.3% | アドウェア |
| 2 | JS/Adware.Agent | 18.2% | アドウェア |
| 3 | HTML/Phishing.Agent | 11.8% | メールに添付された不正なHTMLファイル |
| 4 | DOC/Fraud | 5.3% | 詐欺サイトのリンクが埋め込まれたDOCファイル |
| 5 | WinGo/Spy.Agent | 1.5% | 情報窃取を目的としたGo言語マルウェア |
| 6 | HTML/Phishing.Gen | 1.4% | フィッシングサイトのリンクが埋め込まれたHTMLファイル |
| 7 | JS/Agent | 1.3% | 不正なJavaScriptの汎用検出名 |
| 8 | DOC/TrojanDownloader.Agent | 1.0% | ダウンローダー |
| 9 | HTML/FakeCaptcha | 0.8% | 偽のCAPTCHAを表示させるHTMLファイル |
| 10 | MSIL/TrojanDownloader.Agent | 0.7% | ダウンローダー |
※2:本表には PUA を含めていません
10月に国内で最も多く検出されたマルウェアは、JS/Adware.TerraClicksでした。JS/Adware.TerraClicksは、悪意のある広告を表示させるアドウェアの検出名です。ウェブサイト閲覧時に実行されます。
Snake Keyloggerの感染を狙ったばらまきメール
10月は、情報窃取マルウェアSnake Keyloggerの感染を狙ったマルウェア付きのメールが確認されています。以下では、確認されたメールとSnake Keyloggerについて紹介します。
今回の攻撃では、「見積依頼」、「見積りのご依頼」などの件名のメールに圧縮ファイルが添付されています。圧縮ファイルは、zip形式だけでなくrar形式や7z形式などが存在します。
Snake Keyloggerの感染を狙ったメール
メールに添付された圧縮ファイルを展開すると、以下のように実行ファイルが確認できます。
添付された圧縮ファイル内の実行ファイル
当該ファイルを実行すると、Snake Keyloggerに感染する可能性があります。ESET製品では、「MSIL/Kryptik」や「MSIL/Cassandra」などの検出名で検出します。
Snake Keylogger(別名: 404 Keylogger)は、.NETで作成された情報窃取マルウェアです。2019年に登場し、主にメール経由で感染します。Snake Keyloggerの販売サイトによると最低25ドルで利用が可能になるようです。安価で利用可能であり攻撃者にとっても使い勝手のいいツールであると考えられます。
Snake Keyloggerの販売サイト
このマルウェアは、キー入力、スクリーンショット、クリップボードの情報、さまざま様々なアプリの認証情報を窃取します。対象となるアプリは、FirefoxなどのGeckoベースのブラウザー、Google ChromeやMicrosoft EdgeなどのChromiumベースのブラウザー、Thunderbirdsなどのメールアプリ、Discordなどのチャットアプリと多岐にわたります。
これにより窃取された情報は、SMTP、FTP、Telegramなどにより攻撃者に送信されます。
今回確認した攻撃には、メール本文に実在する企業の名前が使われているものを確認しています。また、いくつかの企業から今回の攻撃に関するなりすましメールの注意喚起が行われています。
不審なメールを受信した際には、関連する注意喚起が行われていないか検索して確認することも重要です。また、情報窃取には、Telegramが悪用される場合もあるため、業務でTelegramを利用していない場合は、Telegram APIへのアクセスをブロックすることで情報流出を防止できる可能性があります。
まとめ
2024年10月マルウェアレポートでは、情報窃取マルウェアSnake Keyloggerの感染を狙ったマルウェア付きメールについて紹介しました。
情報窃取マルウェアは、2024年9月のマルウェアレポートでも紹介しており、8月と比較して9月の検出数は倍増しています。近年脅威が増している情報窃取マルウェアについての概要や対策については、9月のマルウェアレポートも合わせて確認してください。
■常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。下記の対策を実施してください。
1.セキュリティ製品の適切な利用
1-1. ESET製品の検出エンジン(ウイルス定義データベース)をアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。
1-2. 複数の層で守る
1つの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。
2. 脆弱性への対応
2-1. セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行ってください。また、マルウェアの多くが狙う「脆弱性」は、Office製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行ってください。
2-2. 脆弱性診断を活用する
より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。
3. セキュリティ教育と体制構築
3-1. 脅威が存在することを知る
「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。
3-2. インシデント発生時の対応を明確化する
インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。
4. 情報収集と情報共有
4-1. 情報収集
最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。
4-2. 情報共有
同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとのISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。
※ESETは、ESET, spol. s r.o.の登録商標です。Windows、Microsoft Edge は、米国Microsoft Corporationの、米国、日本およびその他の国における登録商標または商標です
引用・出典元 ●Snake Keylogger の新しい亜種の詳細分析 | FortiGuard Labs
https://www.fortinet.com/jp/blog/threat-research/deep-analysis-of-snake-keylogger-new-variant