10月の概況
2022年10月(10月1日~10月31日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。
国内マルウェア検出数*1の推移
(2022年5月の全検出数を100%として比較)
*1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。
2022年10月の国内マルウェア検出数は、2022年9月と比較して微減しました。検出されたマルウェアの内訳は以下のとおりです。
国内マルウェア検出数*2上位(2022年10月)
| 順位 | マルウェア名 | 割合 | 種別 |
|---|---|---|---|
| 1 | JS/Adware.Agent | 12.6% | アドウェア |
| 2 | JS/Packed.Agent | 11.8% | パックされた不正なJavaScriptの汎用検出名 |
| 3 | JS/Adware.TerraClicks | 11.8% | アドウェア |
| 4 | HTML/Pharmacy | 8.1% | 違法薬品の販売サイトに関連するHTMLファイル |
| 5 | HTML/Phishing.Agent | 4.5% | メールに添付された不正なHTMLファイル |
| 6 | HTML/FakeAlert | 3.7% | 偽の警告文を表示させるHTMLファイル |
| 7 | JS/Adware.Sculinst | 3.3% | アドウェア |
| 8 | DOC/Fraud | 2.9% | 詐欺サイトのリンクが埋め込まれたDOCファイル |
| 9 | HTML/ScrInject | 2.4% | HTMLに埋め込まれた不正スクリプト |
| 10 | MSIL/TrojanDownloader.Agent | 2.0% | ダウンローダー |
*2 本表にはPUAを含めていません。
10月に国内で最も多く検出されたマルウェアは、JS/Adware.Agentでした。
JS/Adware.Agentは、悪意のある広告を表示させるアドウェアの汎用検出名です。Webサイト閲覧時に実行されます。
Emotetに感染させるためのばらまきメールの活動が、2022年7月上旬に停止しています。それに伴い、それらの添付ファイルとして主に利用されていたDOC/TrojanDownloader.AgentやVBA/TrojanDownloader.Agentの検出数は、7月以降減少しています。
DOC/TrojanDownloader.AgentとVBA/TrojanDownloader.Agentの検出数月別推移(2022年・国内)
※2022年1月の検出数を100%として比較
しかし、ダウンローダーによる脅威は、依然として検出しています。
今回は、検出数が増加したMSIL/TrojanDownloader.Agentを紹介します。
MSIL/TrojanDownloader.Agentは、.NETプラットフォームにおける実行ファイル形式のダウンローダーです。機能を複数に分けてダウンロードするマルウェアなどにおいて利用されていることがあります。実際にダウンロードされるマルウェアも多岐にわたり、「AgentTesla」「Smoke Loader」といった情報窃取型マルウェアのダウンロードを確認しています。
2022年におけるMSIL/TrojanDownloader.Agentの国内での検出状況は、以下のとおりです。
MSIL/TrojanDownloader.Agentの検出数月別推移(2022年・国内)
※2022年1月の検出数を100%として比較
2022年のESET社の第1三半期脅威レポートでは、世界全体での検出数増加がトピックとして取り上げられており、日本においても3月に検出数が増加しています。今月は、増加した3月の検出数を上回る結果となっています。AgentTesla、FormBookやSmoke LoaderといったマルウェアをダウンロードするMSIL/TrojanDownloader.Agentの亜種の多数検出が、10月における検出数増加の要因として考えられます。
今回確認した亜種の中には、実行時にPowerShellが起動し、自身を削除するコマンドを実行するものがありました。コマンドは、Base64でエンコードされていました。
起動したPowerShellと文字列をBase64でデコードした結果
※Base64デコードに加えて、UTF-16のデコードを行っています
また、MSIL/TrojanDownloader.Agentがアクセスする特徴的な通信先として「cdn[.]discordapp[.]com」から始まるURLを確認しています。このURLは、オンラインチャットアプリの「Discord」でファイル共有した際に作成されるURLです。Discordのファイル共有機能を利用すると、ファイル共有用のURLを知っていれば、アカウントを持っていなくてもファイルを受け取ることが可能です。この機能を悪用し、攻撃者が用意したURLにアクセスさせることで、マルウェアや追加のモジュールをダウンロードします。また、ファイル共有で生成されるURLは、Discordの正規ドメインということもあり、セキュリティ製品によるアクセスのブロックをすり抜ける恐れがあります。
このようなDiscordを用いたマルウェアの配布は、以前から確認されており、最近ではコロンビアにおけるnjRATマルウェアの配布で利用されていたことがESET社から報告されています。
今回ご紹介したように、Emotetへの感染を狙ったダウンローダー以外にもさまざまなダウンローダーが検出されています。不審な実行ファイルを実行しないことはもちろんのこと、公式ホームページや公式アプリストアからアプリケーションをダウンロードすることを心掛けてください。また、よく利用するWebサイトの場合は、ブックマークに登録することも重要です。
常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。 下記の対策を実施してください。
- 1. セキュリティ製品の適切な利用
- 1-1. ESET製品の検出エンジン(ウイルス定義データベース)をアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。 - 1-2.複数の層で守る
1つの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。 - 2. 脆弱性への対応
- 2-1.セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行ってください。また、マルウェアの多くが狙う「脆弱性」は、Office製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行ってください。 - 2-2.脆弱性診断を活用する
より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。 - 3. セキュリティ教育と体制構築
- 3-1.脅威が存在することを知る
「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。 - 3-2.インシデント発生時の対応を明確化する
インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。 - 4. 情報収集と情報共有
- 4-1.情報収集
最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。 - 4-2.情報共有
同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとのISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。
