2017年6月 マルウェアレポート

この記事をシェア
レポートをPDFファイルでダウンロードする

ショートレポート「2017年6月マルウェア検出状況」:「VBA、PowerShell利用のマルウェアが急増」「Jaffランサムウェアの検出が増加」

1. 6月の概況について

弊社マルウェアラボでは、2017年6月1日から30日までのESET製品国内利用の検出状況について集計しました。全体的には、「ばらまき型メール攻撃」が多く確認されている中(以下グラフの赤字で書かれたもの)で、プログラム言語(PowerShell)を使ったマルウェアや、ランサムウェア「Jaff」が多く検出される状況となりました。危険なマルウェア本体を送り込ませるために、より巧妙化・複合化されている状況が確認できました。

国内6月のマルウェア検出状況 上位10種のマルウェア名と割合(上段:円グラフ 下段:表)
※ESET社「VIRUSRADAR」よりマルウェア検出上位10種のマルウェアをファミリー別に再集計したもの
順位 マルウェア名 割合
1 JS/Danger.criptAttachment(ダウンローダ) 19%
2 VBA/TrojanDownloader.Agent(ダウンローダ) 15%
3 PDF/TrojanDropper.Agent(ドロッパー) 8%
4 Suspicious(未知の不審ファイル呼称) 7%
5 PowerShell/TrojanDownloader.Agent(ダウンローダ) 7%
6 HTML/FakeAlert(偽画面表示) 2%
7 JS/Adware.Serhoxs(アドウェア) 2%
8 Win32/Filecoder.Jaff(ランサムウェア) 2%
9 Win32/RealNetworks(望ましくないアプリケーション) 2%
10 Win32/Filecoder..Locky(ランサムウェア) 2%

(1)「VBA」「PowerShell」利用のマルウェア急増について
情報搾取やランサムウェア感染を狙う「ダウンローダ」と呼ばれるマルウェアの開発コードに使われているプログラム言語として、JavaScriptとMicrosoft Office 製品のマクロ機能を悪用したVBA(Visual Basic for Application)が、昨年以降多用されていますが(詳細は2月の「マルウェアレポート」を参照←リンク差し込み)、6月は新たにPowerShellを利用したマルウェアが急増し、10万件以上確認されました(以下グラフ参照)。その増加量は、5月と比べ約12倍に及んでいます。

ESET製品によるPowerShell利用のマルウェア全種類の国内検出状況
※ESET社「VIRUSRADAR」より、日本国内に絞った検出量を表したもの

PowerShellは、Microsoftが開発した拡張性のあるコマンドラインとスクリプト言語を持っており、Windowsの標準ツールとして古くからあるコマンドラインプロンプトを大きく進化させたものといえます。現在では、Windowsシステム管理者にとっては重宝するツールへと変わってきており、ちょっとした自動化処理にPowerShellを活用される方もいます。しかしながら、攻撃者によってこのPowerShellも悪用されるケースがここにきて急増しています。
今後は「ダウンローダ」に限らず、PowerShellを利用した様々なタイプのマルウェアが作られ、攻撃者に利用されるものとみています。(後ほどマルウェア検出量上位5種にて解説)

また、VBAを悪用した「ダウンローダ」の検出が今年最も多く検出されました(以下グラフ参照)。VBAを悪用したデータの多くはMicrosoft Word形式とExcel形式で、5月と比較して約17倍に増加しています。

ESET製品によるVBA利用のマルウェア全種類の国内検出状況
※ESET社「VIRUSRADAR」より、日本国内に絞った検出量を表したもの

(2)「Jaff」ランサムウェアの急増について
ランサムウェアの検出状況については、「Jaff」ランサムウェアが多く検出されました(以下グラフ参照)。6月だけで1月から5月までの総検出量を大きく上回っており、今後注視すべき事案とみています。

ESET製品でのランサムウェア種別による国内検出状況
※ESET社「VIRUSRADAR」より(1/1~6/30までの検出量を集計)

「Jaff」ランサムウェアは、海外では5月中旬ごろからスペインなどで感染報告が上がっている新種のランサムウェアであり、日本では6月7日以降に多く確認されました。このランサムウェアは不正なPDFを添付したメール攻撃によって感染します。

「Jaff」ランサムウェアに感染するまでの一連の流れとしては、最初に「ドロッパー」と呼ばれるPDFファイルを添付したメールを送り付け、そのPDFファイルを開くと添付されたMicrosoft Word形式ファイルが開かれるように作られています。このMicrosoft Word形式ファイルには、マクロ機能の有効で実行する「ダウンローダ」が仕組まれており、このマクロ機能を有効にすると「Jaff」ランサムウェアがダウンロードされ感染活動を行います。

また国外では、6月28日にウクライナなどで「Petya」ランサムウェアの亜種と見られる大量感染の報告がありました。このランサムウェアは、ハードディスクそのものを暗号化するため、ファイルだけ影響を受けるものとは異なり、被害は甚大なものとなります。この詳細については、「「ワナクライ」に似た身代金要求マルウェア「ペトヤ」(PETYA)が世界中で大量拡散」にて取り上げています。

2. 2017年6月の国内マルウェア検出量上位5種

1位 「JS/Danger.ScriptAttachment」(ダウンローダ) 全体の19%
「JS/Danger.ScriptAttachment」は、JavaScript言語で作られた「ダウンローダ」で、メールに添付されたファイルから検出しています。このマルウェアが発症すると、ランサムウェアや情報搾取型マルウェアをダウンロードし感染を狙います。以下グラフから、直近3カ月間の検出傾向で見ると、4月は非常に少ない傾向が続いていましたが、5月14日以降は約2週間の間隔で大量のばらまき型メール攻撃が観測されています。6月だけで30万件以上検出する結果となりました。

日本での「JS/Danger.ScriptAttachment」の直近3カ月間の検出状況(2017年7月4日時点)
※ESET社「VIRUSRADAR」より集計。点線は線形近似。

「JS/Danger.ScriptAttachment」の総検出量(以下グラフ参照)は、昨年から減少傾向でしたが、現在は再び増加傾向となっており、今後も警戒が必要です。

日本での「JS/Danger.ScriptAttachment」の直近6カ月間の検出状況(2017年7月4日時点)
※ESET社「VIRUSRADAR」より集計

2位 「VBA/TrojanDownloader.Agent」(ダウンローダ) 全体の15%
「VBA/TrojanDownloader.Agent」は、主にMicrosoft Office製品のマクロ機能で使用されるVBA(Visual Basic for Application)で作られた「ダウンローダ」で、このマルウェアが発症すると、ランサムウェアや情報搾取型マルウェアをダウンロードし感染を狙います。6月末に特に大きな攻撃キャンペーンが行われ、検出数は4月と5月の総検出量を上回り、6月だけの総検出量でも25万件を超える状況となりました。

日本での「VBA/TrojanDownloader.Agent」の直近3カ月間の検出状況(2017年7月4日時点)
※ESET社「VIRUSRADAR」より集計。点線は線形近似。4月と5月は月間総数のみ記載。

この不正プログラムを組み込んだファイルの多くは請求書を装ったものであり、添付メールで送り付けるケースが数多く確認されています。いずれも「コンテンツの有効化」をクリックするよう誘導する内容が書かれており、「コンテンツの有効化」をクリックすると、「ダウンローダ」として機能します。

請求書を装い「VBA/TrojanDownloader.Agent」が組み込まれた様々なExcelシートの一例

実際にこれらの偽装した請求書を添付しているメール本文は以下のようなものがあります。最近では自然な日本語を使った文書も増えていて、社内の部署を装ったケースも確認されています。

偽装した請求書が添付されたメールの一例(左:画面ショット 右:メール本文)

お疲れ様です。

請求書金額を入力した支払依頼書を添付いたしました。
ご確認後、印刷し原本のご郵送をお願い致します。

宜しくお願いたします。

この E-Mail はお客様のお支払い情報とお客様のご注文が処理されることを確認するためのものです。 ご注文が完了すると、別送で E-Mail を送信します。

このメッセージの最後に記載されている請求書をご確認ください。

何かご不明な点、ご質問等ございましたら、この E-mail に返信するか、。

ご利用ありがとうございます。

いつもお世話になっております。

よろしくご査収ください。

なお、原本は別途郵送にてお送り致します。

よろしくお願い申し上げます。

*****************************************
 営業所
  TEL:○○-○○○○-○○○○  FAX:○○-○○○○-○○○○

いつもお世話になっております。
前月のご請求額が確定いたしましたのでお知らせいたします。
請求書、および明細をXLS形式の添付書類にてお送りいたしますので、ご確認ください。

3位 「PDF/TrojanDropper.Agent」(ドロッパー)全体の8%
「PDF/TrojanDropper.Agent」は、5月に大量に発生した他のマルウェアを展開する「ドロッパー」で、6月6日から8日にかけて「Jaff」ランサムウェア感染の手口として利用されていたことが確認されています。

日本での「PDF/TrojanDownloader.Agent」ファミリーの検出状況(2017年7月4日時点)
※ESET社「VIRUSRADAR」より集計

メール経由で、ランサムウェアなどに感染させる手段として、「ドロッパー」を用いるケースが増えています。「ドロッパー」は、マルウェア自身とは別の不正プログラムを持ちます。これが利用される理由は、入口対策を突破するためです。今回確認されているマルウェアは、Adobe社文書ファイルであるPDF形式ファイルの添付機能を利用したもので、PDFファイルを開くと新たなマルウェアを展開(ドロップ)する役割を担います。

攻撃全体の流れの特徴として、巧妙化・複合化が進んでいます。「ドロッパー」と「ダウンローダ」のコンビネーションによって、ランサムウェア本体を送り込む仕組みになっています。今までは「ダウンローダ」+「マルウェア本体」もしくは、「ドロッパー」+「マルウェア本体」というコンビネーションだったものが、「ダウンローダ」+「ドロッパー」+「マルウェア本体」で一連の攻撃になっています。攻撃側はメールでPDF形式ファイル(以下①参照)を送りつけます。このPDFには、Microsoft Word形式(以下②参照)などのファイルが組み込まれており、PDFファイルが開かれるのと同時にMicrosoft Word形式ファイルを展開します。そして、Microsoft Wordが持つマクロ機能もしくはその他のオブジェクトが呼び出されると、今度は「ダウンローダ」として活動し始め、ランサムウェア本体をダウンロードし活動(以下③参照)を行います。

4位 「Suspicious」(不審ファイルの呼称)全体の7%
「Suspicious」は、ESET製品によって検出された対象が、まだマルウェア名のない場合、その不審ファイルを指す名称になります。毎日のように新しいマルウェアが発生している中、ウイルス定義データベースによる検出だけではなく、こうした未知のマルウェアと見られるものも6月は多く検出されました。

日本での「Suspicious」の検出状況(2017年7月4日時点)
※ESET社「VIRUSRADAR」より集計。点線は線形近似。

ESET製品には、未知のマルウェアを検出するために、20年に渡る研究と製品への反映により、多方面からのマルウェアを判断するための技術が内蔵されています。①エミュレーション技術とDNA(遺伝子工学)を取り入れたふるまい検出技術、②サンドボックス技術を活用したアドバンスドメモリスキャナー機能、さらにこれらの不審・不正と見られるオブジェクトを機械学習させ、③クラウド連携によるESET LiveGrid機能を用いた新種のマルウェアを検出する機能があります。ESET LiveGridは、検体収集とレポートからスタートしたクラウドレピュテーションシステムですが、現在はそれだけではなく、URLやアプリケーションの安全性評価など多岐に渡るクラウドを活かした早期警戒システムとして成長を続けています。

6月の検出状況では、ばらまき型メール攻撃の発生時期と重なっているので、メールに含まれていた添付ファイルの一部が「Suspicious」による判断で駆除したものとみています。(注:「Suspicious」で検出したものは、その後ウイルス定義データベースの更新によってマルウェア名が付与された形で検出されるケースもあります。)

5位 「PowerShell/TrojanDownloader.Agent」(ダウンローダ)全体の7%
「PowerShell/TrojanDownloader.Agent」は、PowerShellで作られた「ダウンローダ」で、ランサムウェアなどのマルウェアをダウンロードし感染させる役割を持ちます。このマルウェアは、6月上旬と中旬に多く検出されました。

日本での「PowerShell/TrojanDownloader.Agent」の検出状況(2017年7月4日時点)
※ESET社「VIRUSRADAR」より集計。

6月に確認されている攻撃では、メールを使ってMicrosoft Word形式ファイルを送り付け、このWordに組み込まれたマクロが実行されると、さらにWindowsのコマンドプロンプトを呼び出し、そこからPowerShellを利用してマルウェアのダウンロードと実行が行われていました。PowerShellの呼び出しは、1行でマルウェアのダウンロードと実行が行われるよう記述されていました。

Wordマクロ実行からコマンドプロンプトを介したPowerShellの呼び出し例

一般的に、業務ソフトなどのアップデートでコードとして書かれるケースと大差はなく、その違いは接続先アドレスとダウンロードされたファイルの実行が悪意のあるものかないものかの違いにすぎません。

このようなケースにおいて、コマンドプロンプトから先の処理は、ファイルから実行されているものではなくメモリから展開されているつくりもあるため、PCの再起動後にはこれらの実行形跡も消える特徴があります。こうした方法で原因特定を遅らせることができることから、専門家の中では手法に対し、「ファイルレスマルウェア」とも呼ばれます。

PowerShellを利用した攻撃手法としては、今年の前半にもLNK(ショートカット)形式ファイルに埋め込んだ実行パスに、PowerShellをコールするように設計されたものもありました。


上位入ったマルウェアですが、マルウェアが添付された「ばらまき型メール攻撃」が多くを占めており、そのメール攻撃量も大変多い状況が続いています。いずれのメールも添付されているファイルは新種もしくは亜種のマルウェアです。実際に添付されているファイル形式としては、ZIP圧縮形式(実行形式や文書形式ファイルが圧縮されている)、文書形式(PDF、DOC、XLS)など様々です。日頃からよく利用されるファイル形式でもありますので、取り扱いに十分注意してください。

今回紹介したマルウェア検出統計に関するリアルタイムな情報は、「ESET VIRUSRADAR」サイト(英語)にて、ご参照いただけます。


最近確認されているメールでも、オリジナルのメール文書を模倣して作られているケースも出てきていますので、個人で見抜くことも難しくなってきています。弊社サイバーセキュリティ情報局からの注意喚起や警察庁などからの情報も常に確認し、こうした被害に遭わないよう心がけましょう。

今後も特に情報搾取を狙った日本語メールによる攻撃やスピアフィッシングは継続的に行われます。自身の情報の取り扱いに注意してください。また、感染に気付くのが遅れるケースもあります。そのような場合に備え、ログインに必要なパスワードなどは定期的に変更するなど心がけ、リスクを最小限にできるよう対応してください。


■ 常日頃からリスク軽減するための対策について

各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。

1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする

ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。

2. OSのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。

3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行い、脆弱性を解消してください。

4. データのバックアップを行っておく

万が一ウイルスに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。 念のため、データのバックアップを行っておいてください。

5. 脅威が存在することを知る

「知らない人」よりも「知っている人」の方がウイルスに感染するリスクは低いと考えられます。ウイルスという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!