6月の概況

2020年6月（6月1日～6月30日）にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。

国内マルウェア検出数^*1の推移
(2020年1月の全検出数を100%として比較)

*1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。

2020年6月の国内マルウェア検出数は、直近6か月の中で検出数が最も多かった5月と同じくらい多いものとなっています。
検出されたマルウェアの内訳は以下のとおりです。

*2 本表にはPUAを含めていません。

6月に国内で最も多く検出されたマルウェアは、JS/Adware.Subpropでした。JS/Adware.Subpropは、不正に広告を表示させるアドウェアで、Webサイト閲覧時に実行されます。
以下に、JS/Adware.Subpropに感染するまでの流れをご紹介します。
下の画像は、アドウェアが仕掛けられたWebサイトです。アクセスすると同時に、画面左上に通知の許可を求めるメッセージが表示されます。表示されたメッセージの[許可]をクリックすると、別のWebサイトがポップアップで表示されます。

JS/Adware.Subpropが仕掛けられたWebサイト

ポップアップ画面では、画面左上に通知の許可を求めるメッセージがもう一度表示されます。この[許可]をクリックするとJavaScriptが実行されます。

別のサイトへ移動した後に表示される通知の許可を求めるメッセージ

実行後は、下の画像のようにPCの動作が遅くなったと偽った広告が表示され続けるようになります。また、表示される広告は、PCの動作の遅さに関するもの以外にも出会い系の広告などがありました。

デスクトップ画面に表示され続ける広告

この広告をクリックすると、以下のサイトへアクセスします。
このサイトでは、Windowsをリペアするためのツールをインストールさせようとしています。このツールは、PUAとしてESET製品で検出されます。
PUAとは、「必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション」を指しており、注意が必要です。

画面に表示され続ける広告をクリックした際にアクセスするWebサイト

アドウェアの中には、このような不正な広告を表示させるもの以外にも、Webブラウザーのアクセス履歴を外部へ送信するものもあるので注意が必要です。不用意に許可やインストールを行わないことが重要です。

今月は、Webブラウザー上で実行される脅威以外にも、多数の電子メールによる脅威を確認しました。中でも、検出数5位のJS/Danger.ScriptAttachmentは、検出数が急増しています。JS/Danger.ScriptAttachmentとは、電子メールに添付された悪意のあるJavaScriptファイルの汎用検出名です。特定のマルウェアではなく、受信したメールの添付ファイルに悪意があると判断されることで検出されます。
JS/Danger.ScriptAttachmentの検出数は、6月9日付近で急増しています。

JS/Danger.ScriptAttachmentの日別検出数の推移（国内）

検出数の急増は、JavaScriptファイルによってランサムウェアの感染を狙ったばらまきメールが多数送信されたことによるものです。
ESET社も、SNSでこのばらまきメールについて注意喚起を行っています。

#Nemucod downloader is at it again, flooding users in #Japan ?? with thousands of malicious emails. Crooks use infected .js file to spread JavaScript downloader for the #Avaddon #ransomware – a new family in the Ransomware-as-a-Service game. @OndrashMachula #ESETresearch 1/3 pic.twitter.com/c61EaawRRL

— ESET research (@ESETresearch) June 9, 2020

ESET社のばらまきメールについての注意喚起のツイート
（引用元：ESET Research公式Twitter）

そのばらまきメールの1つが下の画像です。件名は「You look like good」と書かれています。本文の内容は、顔文字が１つ書かれているだけです。
メールの件名は他にも、「Your new photo?」「Is this your photo」などが確認されています。

ばらまきメールのサンプル

これらのメールに添付されているファイルの名前は、どれも「IMG＋ランダムな数字＋.jpg.js.zip」となっています。Zipファイルの中身は、画像ファイルに偽装したJavaScriptファイルとなっています。あたかも受信者の写真が添付されているかのように見せかける件名を使い、画像ファイルを開かせようとしています。
このJavaScriptファイルを実行してしまうと、PowerShellが起動し、最終的にAvaddonというマルウェアに感染します。

このAvaddonとは、ランサムウェアの1つで、最近確認された新しいランサムウェアファミリーです。6月時点での感染後の動作は、ファイルの拡張子を「avdn」に変更し、ファイルの暗号化を行うことが確認されています。暗号化が終わると、以下のようにデスクトップを変更します。

暗号化が終わった後のデスクトップの画面

また、Avaddonは、ダークウェブ上でRaaS（Ransomware as a Service）として提供されていることも確認されています。RaaSとは、ランサムウェアのプログラムやC&Cサーバなどのインフラを提供するサービスを指します。RaaSについては、過去のマルウェアレポートでも解説を行っています。攻撃者が攻撃を行う上での技術的なハードルが下がり、誰でも攻撃者になることができるため、攻撃の増加が懸念されます。攻撃者がプログラムの更新などのサービスに力を入れているマルウェアは、攻撃によく利用されています。Avaddonの作成者も、プログラムの更新を行っているようですので、今後の動向に注意する必要があります。

今回ご紹介したような複数の脅威の被害に遭わないためにも、セキュリティ製品の適切な利用、最新のセキュリティパッチを適用するといった総合的な対策が重要になります。
また、添付ファイルを安易に開かないことやランサムウェアによる被害軽減のためのオフラインバックアップの取得など、脅威に対して個別の対策をとることも心掛けて下さい。

ご紹介したように、6月はWebブラウザー上で実行される脅威に加えて、多数のばらまきメールを確認しました。セキュリティ製品の適切な利用や最新のセキュリティパッチを適用することが重要です。また、添付ファイルを安易に開かないことやオフラインバックアップの取得も重要になります。