【お知らせ】2017年9月のマルウェア検出レポートを公開
~マイニングマルウェアに流行の兆し~
2017年10月20日
キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社(本社:東京都品川区、代表取締役社長:神森 晶久、以下キヤノンITS)は、2017年9月のマルウェア検出状況に関するレポートを公開しました。
2017年9月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データを基に、2017年9月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。
2017年9月のマルウェア検出状況に関するレポート
9月の概況
9月はVBS(VBScript)形式のダウンローダー型マルウェアが数多く検出されました。7月はVBA(Visual Basic for Applications)形式のダウンローダー、8月はJS(JavaScript)形式のダウンローダーが主流だったことから、マルウェアをPCに送り込む攻撃の初期段階において、攻撃者がさまざまな手法を試していることがうかがえます。
また、キヤノンITSが7月から動向を注視していた、偽の警告文を表示して金銭をだまし取ろうとする詐欺サイト「HTML/FakeAlert」の検出数が、8月から55%増加し過去最大となりました。
国内マルウェア検出数上位(2017年9月)
| 順位 | マルウェア名 | 比率 | 種別 |
|---|---|---|---|
| 1 | VBS/TrojanDownloader.Agent | 43% | ダウンローダー |
| 2 | HTML/FakeAlert | 15% | 偽の警告文表示 |
| 3 | VBA/TrojanDownloader.Agent | 6% | ダウンローダー |
| 4 | PowerShell/TrojanDownloader.Agent | 3% | ダウンローダー |
| 5 | Win32/RealNetworks | 2% | PUA(※) |
| 6 | HTML/IFrame | 2% | リダイレクター |
| 7 | JS/TrojanDownloader.Nemucod | 2% | ダウンローダー |
| 8 | Suspicious | 1% | 未知の不審なファイル |
| 9 | JS/Danger.ScriptAttachment | 1% | ダウンローダー |
| 10 | Win32/RiskWare.PEMalform | 1% | PUA(※) |
| ︙ | |||
| 14 | Win32/HackedApp.CCleaner | 0.6% | スパイウェア |
(※)Potentially Unwanted Application:コンピューターやプライバシーを危険にさらす可能性のあるアプリケーション
CCleanerの改ざん被害
Piriform社が提供するシステムクリーナーソフトウェア「CCleaner」のプログラムコードが改ざんされ、マルウェアが仕込まれた状態で配布されていたことが9月中旬に明らかになりました。改ざんされた「CCleaner」には有効なデジタル署名がなされており、一見すると正規の「CCleaner」と違いはありませんが、裏でコンピューター内の情報を外部に送信します。
この改ざんされた「CCleaner」は日本でも数多く検出され、検出数が最大となった9月18日には、すべてのマルウェア検出の10%をこのマルウェアが占めました。
改ざんされたCCleanerの国内検出比率(9月15日~9月25日)
悪意のあるコードを含むPiriform CCleaner v5.33.6162のデジタル署名情報
悪意のあるコードを含むPiriform CCleaner v5.33.6162
このマルウェアは、ESET製品では「Win32/HackedApp.CCleaner」として検出されます。最新のCCleanerではこの問題はすでに修正されています。
このような、信頼されているソフトウェアに悪意のあるコードを埋め込む手法は「サプライチェーン攻撃」と呼ばれています。6月にはウクライナなど欧州各地において会計ソフトウェアの改ざんによる大規模な被害が発生しました。お使いのソフトウェアについては、こまめに関連情報をチェックすることをお勧めします。
マイニングマルウェアに流行の兆し
攻撃者の新たなる資金源として、キヤノンITSが警戒を強めているマイニングマルウェアの検出が9月に急増しました。攻撃者は、マイニングマルウェアを送り込み、感染させたPCのハードウェアリソース(CPUやGPU)を使って、仮想通貨をマイニング(採掘)します(*1)。採掘された仮想通貨は攻撃者のウォレット(仮想通貨の保管場所)に送付され、それを受け取ることで攻撃者は収益を得ます。
※1 仮想通貨で送金を行う際、決済処理のための計算が必要になります。この計算はその仮想通貨に参加している世界中のコンピューターによる分散処理によって行われており、最も早く決済処理の計算に成功した参加者が、報酬として新規に発行される仮想通貨を得ることができます。このことをマイニング(採掘)と言います。
マイニングマルウェアの検出数(2017年)
9月は、JavaScript形式のマイニングマルウェアが非常に多く検出されました。JavaScript形式のマイニングマルウェアは、基本的にWebブラウザー上で動作し、ユーザーがWebブラウザーで特定のサイトを閲覧することでマイニングマルウェアに感染します。感染すると仮想通貨のマイニングが開始されてCPUの使用率が急激に上昇します。
JS/CoinMinerが埋め込まれたWebサイトへのアクセス時のCPU使用率
Webサイト閲覧時にPCに異常な負荷が掛かっている場合は、このマルウェアが動作している可能性があります。このJavaScript形式のマイニングマルウェアは、ESET製品では「JS/CoinMiner」として検出され、「安全でない可能性があるアプリケーション」と警告されます。
マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、より安全なインターネット活用のためのセキュリティ情報提供を目的として、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。
マルウェア情報局
※ESETは、ESET, spol. s r.o.の商標です。
- 報道関係者のお問い合わせ先 : 企画本部 事業推進部 コミュニケーション推進課 03-6701-3603
- 一般の方のお問い合わせ先 : サポートセンター 050-3786-2528
- キヤノンITSホームページ : https://eset-info.canon-its.jp/