ホーム > お知らせ > ニュースリリース一覧 > 【お知らせ】2018年8月のマルウェアレポートを公開
~バンキングマルウェア感染を狙うIQYファイル悪用のばらまき型攻撃を観測~

【お知らせ】2018年8月のマルウェアレポートを公開
~バンキングマルウェア感染を狙うIQYファイル悪用のばらまき型攻撃を観測~

2018年09月27日

キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社(本社:東京都品川区、代表取締役社長:足立 正親、以下キヤノンITS)は、2018年8月のマルウェア検出状況に関するレポートを公開しました。

2018年8月のマルウェア検出レポートを公開

2018年8月のマルウェア検出状況に関するレポートをウェブで公開

キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データをもとに、2018年8月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。

2018年8月のマルウェア検出状況に関するレポート

トピック

8月の概況

8月に検出されたマルウェアでは、ファイル形式がJS(JavaScript)とHTMLのものが上位を占めました。これらの検出数を7月と比較した結果は、以下のとおりです。

ファイル形式別の国内マルウェア検出数
ファイル形式別の国内マルウェア検出数
※ 2018年3月の全検出数を100%として比較

上図からわかるように、ファイル形式がJSまたはHTML以外のマルウェアは減少している一方で、ファイル形式がJSまたはHTMLのマルウェアは共に大きく増加し、全体の検出数を押し上げています。

これらのマルウェアは、Web上で動作するものが大半です。そのため、Windowsだけではなく、他のOSを搭載したPCやスマートフォンなど、Webブラウザーを搭載しているあらゆるプラットフォームが攻撃の対象となります。

バンキングマルウェア感染を狙う「IQYファイル」を用いたばらまき型メール攻撃

8月は、バンキングマルウェアUrsnifに感染させようとする、新たなばらまき型メール攻撃が観測されました。この攻撃は、一般的にあまり使用されない「.iqy」という拡張子のファイルを用いていることが特徴です。

拡張子「.iqy」ファイル(Webクエリファイル)はExcelのWebクエリ機能(※1)で用いられるアクセス先URLを記載したファイルで、今回の攻撃ではメールの添付ファイルとして拡散されました。

※1 Webクエリ機能:Web上のデータをダウンロードして表計算に利用する機能

Webクエリファイルが添付されたメール
Webクエリファイルが添付されたメール

メールの件名は、「写真添付」「写真送付の件」「ご確認ください」「お世話になります」といったものが確認されています。

このばらまき型メール攻撃は8月6日に第一波、8月8日に第二波が確認されています。いずれも数十~数百万通規模で拡散されたとみられ、各セキュリティベンダーなどから注意喚起が出されているほか、多くのニュースメディアでも取り上げられました。国外では、Necursボットネットを利用してFlawedAmmyyと呼ばれるRAT(遠隔操作ツール)に感染させようとする同様の攻撃が5月に確認されています。

マルウェアレポートでは、攻撃手法と対策について解説していますので、ご覧ください。

Outlookユーザーを狙うバックドア

ESETは、Turla Outlook Backdoorと呼ばれるマルウェアを解析し、8月にその詳細をホワイトペーパー(※2)で報告しました。

※2 https://www.welivesecurity.com/wp-content/uploads/2018/08/Eset-Turla-Outlook-Backdoor.pdf

このマルウェアは、Outlookユーザーを狙ったバックドアです。サイバースパイ集団のTurlaによって作成されたと考えられており、2009年に確認されて以降、継続的にアップデートされています。実際に被害も発生しており、ドイツ外務省がこのバックドアに感染し、機密情報が搾取された可能性が示唆されています。

近年のTurla Outlook Backdoorの大きな特徴は、従来とは異なる手法で感染端末を制御することです。

バックドアの感染端末に対する制御は、コマンド&コントロールサーバー(以下C&Cサーバー)を介して行われるものが一般的です。一方、Turla Outlook Backdoorは、C&Cサーバーを介さなくても、感染端末を制御することが可能です。感染端末は、攻撃者から送信されたメールに添付されているPDFファイルによって制御されます。

メールに添付されたPDFファイルによって制御される感染端末
メールに添付されたPDFファイルによって制御される感染端末

マルウェアレポートでは、感染から、感染端末が制御されるまでの流れについて解説していますので、ご覧ください。

ご紹介したように、今月はバンキングマルウェア感染を狙う新たな攻撃が確認され、Outlookユーザーを狙ったバックドアの解析報告がありました。常に最新の脅威情報をキャッチアップし、対策を実施していくことが重要です。

マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中

キヤノンITSでは、より安全なインターネット活用のためのセキュリティ情報提供を目的として、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

マルウェア情報局


※ESETは、ESET, spol. s r.o.の商標です。Windows、Visual Basic、Microsoft、Excelは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。

  • 報道関係者のお問い合わせ先 : 企画本部 事業推進部 コミュニケーション推進課 03-6701-3603
  • 一般の方のお問い合わせ先 : サポートセンター 050-3786-2528
  • キヤノンITSホームページ : https://eset-info.canon-its.jp/