11月の概況
2022年11月(11月1日~11月30日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。
国内マルウェア検出数*1の推移
(2022年6月の全検出数を100%として比較)
*1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。
2022年11月の国内マルウェア検出数は、2022年10月と比較して大きく減少しました。検出されたマルウェアの内訳は以下のとおりです。
国内マルウェア検出数*2上位(2022年11月)
| 順位 | マルウェア名 | 割合 | 種別 |
|---|---|---|---|
| 1 | JS/Packed.Agent | 12.3% | パックされた不正なJavaScriptの汎用検出名 |
| 2 | JS/Adware.Agent | 11.3% | アドウェア |
| 3 | JS/Adware.TerraClicks | 7.5% | アドウェア |
| 4 | DOC/TrojanDownloader.Agent | 5.7% | ダウンローダー |
| 5 | HTML/Phishing.Agent | 3.9% | メールに添付された不正なHTMLファイル |
| 6 | JS/Adware.Sculinst | 3.5% | アドウェア |
| 7 | HTML/Pharmacy | 3.5% | 違法薬品の販売サイトに関連するHTMLファイル |
| 8 | HTML/FakeAlert | 3.3% | 偽の警告文を表示させるHTMLファイル |
| 9 | HTML/ScrInject | 2.0% | HTMLに埋め込まれた不正スクリプト |
| 10 | MSIL/Kryptik | 1.5% | 難読化されたMSILで作成されたファイルの汎用検出名 |
*2 本表にはPUAを含めていません。
11月に国内で最も多く検出されたマルウェアは、JS/Packed.Agentでした。
JS/Packed.Agentは、パッカーと呼ばれる圧縮ツールを使い、自己解凍形式で圧縮したJavaScriptのマルウェアです。ファイルが圧縮されると符号化により元のデータから変化します。このようにデータを容易に難読化することができるため、パッカーはシグネチャーを基にマルウェアを判定するセキュリティ製品の検出から回避させたり、解析しにくくさせたりする目的で、マルウェアに悪用されることがあります。
11月の下旬はブラックフライデーおよびサイバーマンデーと呼ばれる、ECサイトや小売店の大規模なセールが開催されました。このセールに向けてサービス提供者はユーザーに集客メールを配信して購買を促しますが、悪意のある攻撃者にとっても集客メールを装ったスパムメールをばらまく絶好の機会となります。今回はブラックフライデーに便乗してマルウェアへの感染を狙ったマルスパムを紹介します。
サイバーセキュリティラボでは、ブラックフライデーで使用できるクーポンを添付したというマルスパムを確認しました。メールの件名や本文には割引価格で商品を購入できる、期間限定のセールである、といった主旨の内容が記載されており、メール受信者の購買意欲を掻き立たせて添付ファイルの確認へと誘導しています。
ブラックフライデーに便乗したスパムメールの例
メールには「Black Friday.zip」というZIPファイルが添付されています。このZIPファイルからは「Black Friday.docx」というDOCXファイルが展開されます。DOCXファイル内の文書下部には、クーポンコードが取得できるかのように誤認させてクリックを促す不審なOLE(Object Linking & Embedding)オブジェクト*3が埋め込まれています。
*3 Windowsのアプリケーション間でデータを連携または共有するための仕組みです。
メールに添付されたDOCXファイル
OLEオブジェクトを解析するツール*4を使用して内部データを解析すると、不審なVBScriptの埋め込みが確認できます。このVBScriptには以下に示す処理が実装されており、OLEオブジェクトが埋め込まれた部分をダブルクリックすることでスクリプトが実行されマルウェアに感染する可能性があります。
- 外部サーバーに通信を行い、「sys.exe」という名前のEXEファイルをダウンロードする。
- 「sys.exe」が3時間ごとに実行されるよう、「Cclenears」という名前のタスクをタスクスケジューラーに登録する。
- PC起動時に「sys.exe」が実行されるようにレジストリを設定する。
- 「sys.exe」が実行され、PCの情報が窃取されたり遠隔からPCを操作されたりする。
*4 oledump.py Quick Reference | SANS
DOCXファイルに存在するOLEオブジェクトの内部データ
OLEオブジェクトに含まれているVBScriptコードの一部
今回はブラックフライデーに便乗したマルスパムを紹介しましたが、同様にブラックフライデーに便乗したフィッシングメールも確認*5されています。また、ブラックフライデーのセール期間中にスパムメールが増加するという報告*6もあります。ブラックフライデーに限らず、クリスマスセールや各オンラインストアのセールに合わせて、スパムメールが増加する可能性は十分あります。よってこういったスパムメールからマルウェア感染や個人情報窃取の被害を防ぐために、以下に示すような対策を心掛けてください。
- 利用したことのないサービスからの広告メールは無視する。
- メール内のリンクや添付ファイルを安易にクリックしない。
- Webブラウザーのブックマークや公式アプリからサービスにアクセスする。
*5 10 to 15 Percent of Black Friday Emails Are Malicious | Vade Secure
*6 Gearing up for Black Friday: online shopping threats in 2022 | Kaspersky
常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。 下記の対策を実施してください。
- 1. セキュリティ製品の適切な利用
- 1-1. ESET製品の検出エンジン(ウイルス定義データベース)をアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。 - 1-2.複数の層で守る
1つの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。 - 2. 脆弱性への対応
- 2-1.セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行ってください。また、マルウェアの多くが狙う「脆弱性」は、Office製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行ってください。 - 2-2.脆弱性診断を活用する
より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。 - 3. セキュリティ教育と体制構築
- 3-1.脅威が存在することを知る
「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。 - 3-2.インシデント発生時の対応を明確化する
インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。 - 4. 情報収集と情報共有
- 4-1.情報収集
最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。 - 4-2.情報共有
同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとのISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。
