【お知らせ】2018年2月のマルウェア検出レポートを公開
～Webブラウザー上の脅威を多く観測～

キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社（本社：東京都品川区、代表取締役社長：足立 正親、以下キヤノンITS）は、2018年2月のマルウェア検出状況に関するレポートを公開しました。

キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データを基に、2018年2月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。

2018年2月のマルウェア検出状況に関するレポート

2018年2月1日から2月28日までの間、ESET製品が国内で検出したマルウェアの種類別の割合は、以下のとおりです。

2月の国内マルウェア検出数1位は、1月に引き続きJavaScript形式のマイニングスクリプト「CoinMiner」でした。昨年はダウンローダー型のマルウェアが検出数の大半を占めていましたが、今年に入ってからWebブラウザーを狙った攻撃やアドウェアなどの検出が多く見られ、脅威が多様化しています。それを示すように、2月の検出数上位10種のマルウェアのうち７種はWebブラウザーを実行環境とするもの（JS/やHTML/で始まる検出名）でした。

バンキングマルウェア「Ursnif」の感染を狙ったメールが多く確認されています。「Ursnif」は、インターネットバンキングサイトの認証情報（ユーザIDやパスワード等）やクレジットカード情報を窃取します。感染した場合、銀行口座からの不正送金やクレジットカードの不正利用などの被害に遭う可能性があり、警視庁や日本サイバー犯罪対策センターをはじめ他のベンダーからも、多くの注意喚起が出ています。

一般財団法人 日本サイバー犯罪対策センター 注意喚起情報
「インターネットバンキングマルウェアに感染させるウイルスメールに注意」

「Ursnif」の感染を狙ったメール攻撃は大きく分けて2種類あります。1つ目はMicrosoft Officeのマクロ機能を悪用し「Ursnif」のダウンローダーをメールに添付しているパターンです。ESET製品では「VBA/TrojanDownloader.Agent 」として検出します。2つ目はメール本文中に「Ursnif」のダウンローダーのURLを記載しているパターンです。今回は2つ目のパターンについて詳しくご紹介します。

次の画像は楽天カードを騙り、「Ursnif」のダウンロード用URLを記載したメールの例です。

本文中のリンクは、一見すると楽天カード株式会社の正規のドメインのように見えますが、実際には攻撃者のドメインにアクセスするよう設定されています。このリンクをクリックすると、悪性のJavaScriptファイルがダウンロードされ、ファイルを実行すると「Ursnif」に感染します。

ESET製品では、この悪性JavaScriptファイルを「PowerShell/TrojanDownloader.Agent」として、Ursnif本体を「Win32/Spy.Ursnif」としてそれぞれ検出し脅威を防ぎます。

感染のステップに使われる3つのプログラム（図中④wscript.exe、同⑤cmd.exe、同⑥powershell.exe）はいずれもWindowsに標準で搭載されている正規のプログラムです。PowerShellはコマンドプロンプトより高度な処理を行うことができるため、悪用される事例が増えています。

wscript.exeはWindowsでJavaScriptファイル（拡張子.jsまたは.jse）を実行するための既定のプログラムとして設定されています。この既定のプログラムをメモ帳などのテキストエディタに変更しておくとファイルが開かれてもスクリプトが実行されないため、感染を防ぐことができます。Windows上でJavaScriptファイルを実行しない場合は、設定変更を推奨します。

JavaScriptファイルを開く既定のプログラムの設定は、（Windows10の場合）スタートボタンを右クリック > [コントロール パネル] > （[プログラム]） > ［既定のプログラム］ > [ファイルの種類またはプロトコルのプログラムへの関連付け] > 拡張子一覧から「.js」(｢.jse｣)を選択し [プログラムの変更] > プログラム名の一覧から「メモ帳」などテキストエディタを選択することで、変更ができます。
なお、この設定変更は、Webブラウザー上におけるJavaScriptの実行には影響しません。

Adobe Flash Playerの脆弱性（CVE-2018-4878）を悪用した攻撃が確認されています。ある事例では、この脆弱性を悪用するエクスプロイトコードがMicrosoft Officeファイルに埋め込まれており、ファイルを開いただけで攻撃者によって仕組まれたプログラム（攻撃者サーバーとの通信、別のマルウェアのダウンロード）が実行されます。

この脆弱性に対する アドビ システムズ社のセキュリティアップデートは既に公開されています。未適用の場合、速やかに適用されることを推奨します。また、ESET製品ではこの脅威を「SWF/Exploit.CVE-2018-4878」として検出し脅威を防ぎます。

ご紹介したように、2月はバンキングマルウェア「Ursnif」の感染を狙った攻撃やAdobe Flash Playerの脆弱性を悪用した攻撃が確認されました。常に最新の脅威情報をキャッチアップすることが重要です。

キヤノンITSでは、より安全なインターネット活用のためのセキュリティ情報提供を目的として、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

マルウェア情報局


※ESETは、ESET, spol. s r.o.の商標です。