トピック

1. 6月の概況
2. 日本語環境を狙ったばらまき型メール

1.6月の概況

2019年6月（6月1日～6月30日）にESET製品が国内で検出したマルウェアの検出数は、以下のとおりです。

国内マルウェア検出数^*1の推移
(2019年1月の全検出数を100%として比較)

*1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。

国内マルウェア検出数は、2019年1月から4月は減少傾向でしたが、5月以降は増加傾向です。
検出されたマルウェアの内訳は以下のとおりです。

*2 本表にはPUAを含めていません。

6月に国内で最も多く検出されたマルウェアは、JS/Adware.Agentでした。本マルウェアは、悪意のある広告を表示させるアドウェアで、Web閲覧中に実行されます。2番目に多く検出されたJS/Adware.Subpropも同様の挙動をするアドウェアです。
これら２種類のアドウェアは、海外でも非常に多く検出されました。世界全体で検出されたマルウェアのうち、PUAを除くと、上位1位がJS/Adware.Subprop、2位がJS/Adware.Agentでした。

6月に国内で検出されたマルウェアのうち、特徴的なものがDOC/Agent.DZです。本マルウェアは、6月17日に登録された新しいマルウェアですが、6月全体の国内検出数上位5位に位置付けています。6月17日から6月30日までの14日間で、本マルウェアが極めて多く検出されたことが分かります。

また、DOC/Agent.DZは、日本以外ではほとんど検出が確認されていません。6月に検出されたDOC/Agent.DZの国別割合は以下のとおりです。

DOC/Agent.DZの国別検出割合

次章で、日本で多数確認されたDOC/Agent.DZの事例を紹介します。

2.日本語環境を狙ったばらまき型メール

前章で紹介したように6月は、 DOC/Agent.DZが国内マルウェア検出数の５位になりました。DOC/Agent.DZの検出は、6/17にばらまかれたメールに添付されたExcelファイルが大半を占めています。
メールは下記のような内容で、「Re: 請求書の送付」などの件名になっています。全部で7種類の件名が確認されています。

6/17に送信されたメールの例

添付されたExcelファイルを実行すると下記の画像が表示されます。
マクロが有効化された場合は、画像ファイルがダウンロードされます。これは昨年に紹介したステガノグラフィーを用いた手法です。画像ファイル内にデータが隠蔽されています。

メールに添付されていたExcelファイルの内容

VBA（Visual Basic for Applications）のコードを確認しようとすると、「プロジェクトがロックされています。プロジェクトを表示できません。」というダイアログ(左の画像)が出てコードが確認できません。通常のプロジェクトのロックの場合は、VBAProjectパスワード入力画面（右の画像）が表示されますが、この添付ファイルでは表示されません。攻撃者は簡単には解除できない方法でロックを掛け、解析妨害を行ったものと考えられます。

プロジェクトのロック（左）、プロジェクトのパスワード画面（右）

プロジェクトのロック（上）、プロジェクトのパスワード画面（下）

VBAのコードを抽出し確認すると、主に日本語環境を狙ったと考えられる処理が書かれています。

日本語環境の検知処理（抜粋）

上記のスクリプトは、Long Date形式で日付を取得する処理であり、日本語などの一部の言語の場合は「YYYY年MM月DD日」というフォーマットで取得されます。Long Date形式で取得した日付の文字列に、「年」が含まれている場合は以降の処理を行い、そうでない場合は終了します。
実際のダウンロード処理は、Excelのセル内の難読化された文字列を解読し、ダウンロードコマンドが作成されます。

セル内の難読化文字列の取得及び難読化解除処理

このダウンローダーは、wmicコマンド経由でPowerShellを起動しダウンロード処理を行います。

プロセスツリー

PowerShellのコマンドは、難読化が多重に施されています。一部の難読化を解読すると、ExcelのVBAコードと同様に日本語環境を検知する処理に加えて、インストールされているアンチウイルスソフトの情報やCPUの情報を攻撃者のサーバーに送信する処理が記載されていました。情報送信はInvoke-WebRequestコマンドレットが利用されているためPowerShell v3.0以降がインストールされている環境でのみ動作します。Windows8以降は、PowerShellv3.0以降が標準で搭載されています。

PowerShellの難読化解除後の日本語環境検知

PowerShellの難読化解除後の情報送信処理（抜粋）

ダウンローダーにより下記のような画像がダウンロードされます。画像内の隠蔽されているデータを解析し実行すると、さらに別の画像（ステガノグラフィー）をダウンロードします。

ステガノグラフィーで用いられた画像のスクリーンショット

また、6月後半にはDOC/Agent.EA、DOC/Agent.EBの検出も確認しています。これらのマルウェアはイタリアで多く検出されました。上記でご紹介したDOC/Agent.DZ同様、Long Dateフォーマットの日付文字列を利用して、感染対象を絞っています。
DOC/Agent.EAでは、Long Dateフォーマットの日付文字列に”no”が含まれている場合にダウンロード処理が行われます。イタリア語で6月は”giugno”と表記します。

DOC/Agent.EAのイタリア語環境の検知処理（抜粋）

DOC/Agent.EBは、少し複雑になり、Long Dateフォーマットの日付文字列から月の文字列を抜き出し、月の文字列に含まれる“g”の文字が2文字である場合にダウンロード処理が行われます。

DOC/Agent.EBのイタリア語環境の検知処理（抜粋）

このように近年では、ダウンローダーの時点で、特定の環境でしか動作しないような解析妨害が施されることが多くなりました。攻撃者は、自動解析で動作しないようにすることや解析を遅らせることで、検知を遅らせ感染拡大を狙っているのかもしれません。

ご紹介したように、6月はDOC/Agent.DZと呼ばれるマルウェアが日本で多く観測されました。これは日本語環境を狙ったダウンローダーが添付されたばらまき型メールがあったことが原因として考えられます。常に最新の脅威情報をキャッチアップし、対策を実施していくことが重要です。