【お知らせ】2018年5月のマルウェアレポートを公開
～ESETが新たな手口のバンキングマルウェアを発見～

キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社（本社：東京都品川区、代表取締役社長：足立 正親、以下キヤノンITS）は、2018年5月のマルウェア検出状況に関するレポートを公開しました。

キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データを基に、2018年5月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。

2018年5月のマルウェア検出状況に関するレポート

• 5月の概況：4月に引き続きVBA機能を悪用したダウンローダーが1位
• Webブラウザーを問わない、新たな手口を使うバンキングマルウェアを発見
• ランサムウェアを販売するRansomware as a Service （RaaS）

2018年5月に国内で最も多く検出されたマルウェアは、4月に引き続き「VBA/TrojanDownloader.Agent」です。検出数は4月と比較して3.4倍となりました。
このマルウェアはVBA（Visual Basic for Applications）で書かれたダウンローダーで、ファイル形式はMicrosoft Word文書やMicrosoft Excel文書です。主にメールの添付ファイルとして拡散されていますので、ご注意ください。

ESETはポーランド人を狙った、新しいテクニックを使うバンキングマルウェア「BackSwap」を発見しました。
従来のバンキングマルウェアは、WebブラウザーにDLL（コード）インジェクション（※）する手口が一般的でしたが、今回発見された「BackSwap」はまったく新しい手口で情報を盗み取ります。「BackSwap」はWindowsメッセージの仕組みを通じて、ユーザーの操作を監視します。この手法は、Webブラウザーの種類やバージョンを問わず攻撃が可能な点で、非常に強力です。
今回の手口では、送金額が10,001～20,000ポーランド・ズウォティ（日本円で30万～60万円、1ポーランド・ズウォティ＝30円として計算）の範囲内の場合に、送金先の口座番号を攻撃者の口座に書き換えることが確認されています。

（※） Webブラウザーのプロセスに自身のコードを挿入し、実行させる攻撃手法。

昨年、「WannaCryptor（ESET検出名：Win32/Filecoder.WannaCryptor」に始まり、「Petya」や「BadRabbit」などランサムウェアの大規模感染が多く発生しましたが、ランサムウェアが流行した要因の１つとして、Ransomware as a Service（以降、RaaSと記載）の存在が挙げられます。

RaaSはサイバー犯罪者向けのサービスで、ランサムウェアを感染させ身代金を得ようとするサイバー犯罪者に対して、感染に必要なプログラム（ランサムウェア本体やダウンローダー、C&Cサーバーなど）を販売しています。
そのためサイバー犯罪者は、このRaaSサイトからサービスを購入することで、サイバー犯罪者自身がランサムウェアを開発する必要がなく容易に攻撃を行うことが可能です

RaaSは、プログラミングなど特別な知識を必要とせず、比較的簡単に利用できることから、サイバー犯罪者にとって非常に魅力的なサービスです。マルウェアレポートでは、実在するRaaSサイトの画面を多数公開していますので、ご覧ください。

今回マルウェアレポート内でご紹介したようなRaaSを販売するサイトは、ダークウェブ上に複数存在しており、頻繁に機能追加が行われているサービスも存在します。そのため、今後もサイバー犯罪者にとってより魅力的な機能が追加される可能性があります。
当然のことながら、正当な理由なしにマルウェアを作成・保管することは犯罪です。興味本位にこのようなサービスを利用されることがないよう、ご注意ください。

ご紹介したように、マルウェアに使われているテクニックや、RaaSサイトに代表される、攻撃者のためのプラットフォームは日々巧妙化しています。常に最新の脅威情報をキャッチアップすることが重要です。

キヤノンITSでは、より安全なインターネット活用のためのセキュリティ情報提供を目的として、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

マルウェア情報局


※ESETは、ESET, spol. s r.o.の商標です。Windows、Visual Basic、Microsoft、Excel、は、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。