トピック

1. 12月の概況
2. 「Emotet」のばらまきメール本文の変化について

1.12月の概況

2019年12月（12月1日～12月31日）にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。

国内マルウェア検出数^*1の推移
(2019年7月の全検出数を100%として比較)

*1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。

2019年12月の国内マルウェア検出数は、11月に引き続いて、減少しました。直近6か月間の中で最も検出数の少ない月となりました。
検出されたマルウェアの内訳は以下のとおりです。

*2 本表にはPUAを含めていません。

12月に国内で最も多く検出されたマルウェアは、11月に引き続きHTML/ScrInjectでした。HTML/ScrInjectはHTMLに埋め込まれた不正スクリプトで、Webサイト閲覧時に実行されます。

2位のVBA/TrojanDownloader.Agentは、Office製品で利用されるプログラミング言語のVBAで作成されたダウンローダーです。他のマルウェアをダウンロードすることで知られています。ファイル形式は、WordファイルやExcelファイルであることが大半です。 今月は、11月の検出数を超える数のVBA/TrojanDownloader.Agentが検出されました。2019年7月と比較すると、4倍以上の検出数となっています。この原因の一つとして考えられるのが、「Emotet」による攻撃の増加です。

VBA/TrojanDownloader.Agentの国内での検出数の推移
（2019年7月の検出数を100％として比較）

VBA/TrojanDownloader.Agentの亜種内訳を見てみると、VBA/TrojanDownloader.Agent.QXIが最も多く検出された亜種でした。その割合は、VBA/TrojanDownloader.Agentの検出数の約14.6％でした。

日本国内におけるVBA/TrojanDownloader.Agentの亜種内訳（12月）

VBA/TrojanDownloader.Agent.QXIは、10月以降被害が増えている「Emotet」をダウンロードするダウンローダーでした。
これ以外にも、VBA/TrojanDownloader.Agent.QXFやVBA/TrojanDownloader.Agent.QQXも、現時点では「Emotet」のダウンロードを行うことを確認しています。
VBA/TrojanDownloader.Agent.QXIを実行すると、2019年10月のマルウェアレポートでご紹介した6種類の画像の一つが表示されます。
VBA/TrojanDownloader.Agent.QXFとVBA/TrojanDownloader.Agent.QQXを実行すると下記のような画像が表示されます。これは、以前に紹介した6種類とは異なる表示画面です。

開いたWordの表示画面

ここからコンテンツを有効化してしまうと、最終的に「Emotet」へ感染します。 感染後は、情報窃取や他のマルウェアをダウンロードされるといった被害を受ける可能性があります。「Emotet」の詳細については、2019年10月のマルウェアレポートでも紹介しています。

次章では、「Emotet」への感染を狙ったメール本文の変化について紹介していきます。

2.「Emotet」のばらまきメール本文の変化について

前章でも触れましたが、「Emotet」への感染被害報告は今も増えています。現在確認されている主な侵入経路はメールに変わりないのですが、送られてくるばらまきメールの内容に少し変化が出てきています。
2019年10月頃に確認されたメールの中には、「おはようございます」などの一言だけのものや「いつも大変お世話になっております」「衷心より感謝申し上げます」といった定型文が羅列されたものがありました。

「Emotet」のばらまきメール本文（2019年10月頃に確認されたもの）

今月、確認されたメールの中には、以前より流暢な日本語の文章で書かれたものがありました。内容も文章として成立しています。

「Emotet」のばらまきメール本文（2019年12月頃に確認されたもの）

もちろん、名前を名乗っていないことや表現がまだ固いなどといった点でばらまきメールだと見分けられるかもしれませんが、今後さらに日本語へのローカライズが進めば一目で判断することが難しくなる可能性があります。10月頃と同様に一言だけのばらまきメールが今も送信されているため、このように流暢な文章のばらまきメールへの警戒心が薄くなりやすいと考えられます。

これに加えて、「メリークリスマス」や「賞与」といったイベントに合わせたメールも、今月は確認されています。「メリークリスマス」が含まれているメールでは、クリスマスに日本でよく利用されるファストフード店の名前を悪用していました。日本語だけでなく日本の習慣や文化にも対応が進んできているようです。

「メリークリスマス」を悪用したばらまきメール本文

「賞与」を悪用したばらまきメール本文

このようにイベントに合わせたメールは、他の国でも同様に確認されています。具体例を挙げますと、「昇給」というイベントを悪用したばらまきメールが、スペインで確認されています。

スペイン語で書かれた「昇給」を悪用したばらまきメール本文
（日本語訳は自動翻訳を少し整形したものです）

このメールに書かれたURLをクリックすることでダウンローダーがダウンロードされ、最終的に「Emotet」へ感染します。
このように、国ごとのイベントや習慣・文化に合わせたメールが送信されています。
今後も、イベントに合わせたメールが新たに出てくる可能性があるので注意が必要です。

以上のことから分かるように、「Emotet」への感染を狙ったばらまきメールに変化が出てきています。届いたメールに不審な点を感じた場合は、メールを開かないといったことが重要です。開いてしまった際に感染を防ぐためにも「Office製品のマクロ自動実行が無効になっているかの確認」といった基本的な対策をあらかじめ実施しておいてください。
また、IPAやJPCERTからも注意喚起が出ているので、そちらも参照してください。

ご紹介したように、12月はWebブラウザー上で実行される脅威に加えて、ダウンローダーの脅威が多く検出されています。また、「Emotet」のばらまきメール本文に変化が出てきており、日本語への対応が進んできています。今後の「Emotet」の変化に対応するためにも情報収集は欠かさないようにしましょう。