9月の概況
2025年9月(9月1日~9月30日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。
国内マルウェア検出数*1の推移
(2025年4月の検出数を100%として比較)
*1 検出数にはPUA(Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。
2025年9月の国内マルウェア検出数は、2025年8月と比較して減少しました。検出されたマルウェアの内訳は以下のとおりです。
国内マルウェア検出数*2上位(2025年9月)
| 順位 | マルウェア名 | 割合 | 種別 |
|---|---|---|---|
| 1 | HTML/Phishing.Agent | 22.9% | メールに添付された不正なHTMLファイル |
| 2 | JS/Adware.Agent | 20.4% | アドウェア |
| 3 | DOC/Fraud | 14.7% | 詐欺サイトのリンクが埋め込まれたDOCファイル |
| 4 | JS/Agent | 2.3% | 不正なJavaScriptの汎用検出名 |
| 5 | HTML/Phishing.Gen | 1.8% | フィッシングを目的とした不正なHTMLファイル |
| 6 | HTML/Fraud | 1.5% | 詐欺サイトのリンクが埋め込まれたHTMLファイル |
| 7 | JS/Adware.Subprop | 1.2% | アドウェア |
| 8 | Win32/TrojanDownloader.ModiLoader | 1.0% | ダウンローダー |
| 9 | Win64/Agent | 0.9% | 不正な実行ファイルの汎用検出名 |
| 10 | JS/Adware.Sculinst | 0.8% | アドウェア |
*2 本表にはPUAを含めていません。
9月に国内で最も多く検出されたマルウェアは、HTML/Phishing.Agentでした。
HTML/Phishing.Agentは、メールに添付された不正なHTMLファイルの汎用検出名です。HTMLファイル内に埋め込まれたURLにアクセスすると、個人情報の窃取、マルウェアのダウンロードといった被害に遭う可能性があります。
2025年9月にESET製品が国内で検出したマルウェアの種類別の推移は、以下のとおりです。以降のグラフにはPUAが含まれています。
国内マルウェアの種類別検出数の推移
(2025年4月の各検出数を100%として比較)
ランサムウェアの検出数は2025年8月から大きく減少しているものの、春頃と比較すると依然高い水準を保っています。ランサムウェア以外では、フィッシングの検出数が6月をピークに減少傾向にあります。
▼各種類のグラフの詳細をご覧になりたい方は、こちらをクリックしてください。
▼各種類のグラフの詳細をご覧になりたい方は、こちらをタップしてください。
ランサムウェア検出数の推移(国内)
(2025年4月の検出数を100%として比較)
スパイウェア検出数の推移(国内)
(2025年4月の検出数を100%として比較)
ダウンローダー検出数の推移(国内)
(2025年4月の検出数を100%として比較)
ドロッパー検出数の推移(国内)
(2025年4月の検出数を100%として比較)
フィッシング検出数の推移(国内)
(2025年4月の検出数を100%として比較)
2025年9月にESET製品が国内で検出したマルウェアのOS別推移は、以下のとおりです。
国内マルウェアOS別の推移(Windowsを除く)
(2025年4月の各検出数を100%として比較)
2025年9月ではiOSを狙った脅威が増加していました。一方、Androidを狙った脅威は減少しています。
VBScriptによる脅威について
2025年9月はVBScriptを悪用したマルウェアの検出数が増加しており、2025年の中では最も検出数が多い月でした。
VBScriptを悪用したマルウェアの検出数月別推移(2025年・国内)
(2025年1月の検出数を100%として比較)
2025年9月に検出されたVBScriptを悪用したマルウェアの中で最も検出数が多かったものは、「VBS/Agent」でした。VBS/AgentはVBScriptを悪用したマルウェアに対して使われる汎用的な検出名です。
VBScriptとは
上記のように悪用が増加しているVisual Basic Scripting Edition(VBScript)とはMicrosoft Visual Basicに基づく強力なスクリプト言語であり、タスクの自動化やアプリケーションの制御に活用されてきました。
一方、マルウェアへの悪用も確認されています。具体例としては、攻撃者のサーバーからマルウェアをダウンロードするダウンローダーです。2019年頃に流行したマルウェアEmotetのダウンローダーにもVBScriptが使われていました。
VBScriptが悪用されている主な理由として、開発がしやすいこと、Windows環境であれば実行可能であることやユーザーに気づかれないように正規アプリケーションとして実行できることが挙げられます。
2025年9月に検出されたVBS/Agent.TLMについて
脅威となるマルウェアについて組織内で情報共有したり対策を講じたりする上で、マルウェアがどのように動作するかという情報はとても重要です。前述のとおりVBS/Agentは2025年9月に多数検出されており、この検出名には多数の亜種が存在します。その中でも検出数の多かった亜種の1つであるVBS/Agent.TLMを例に動作を紹介します。
VBS/Agent.TLMが実行されると、攻撃者が指定したURLからファイルをダウンロードします。実行後にアクセスするURLやマルウェアサンプルデータベースの共有サイトであるMalwareBazaarに掲載された情報を考慮すると、この検体はダウンローダーであるGuloaderの可能性が考えられます。コードには、大量のコメントを挿入する、ランダムな文字列で変数名を構成する、Replace関数による文字列の置換を組み込んで変数の中身を隠ぺいする、などの難読化が施されています。
VBS/Agent.TLMに書かれたコードの様子
スクリプトが実行されると、Replace関数などの処理によって難読化が解除されて、最終的にShellExecute関数が呼び出されてPowerShellが実行されます。PowerShell実行後、攻撃者が指定するURLにアクセスします。
PowerShell実行後にアクセスする通信先の様子
今後のVBScriptについて
VBScriptは2027年に廃止されることがMicrosoft社から公表されています(2024年)。VBScriptが廃止されるまでは2年ほど残されており、それまではVBScriptを悪用したマルウェアによる脅威の影響を受ける恐れがあります。Microsoft社もVBScriptからほかのスクリプト言語への移行を推奨しており、組織内でVBScriptの実行を無効化する方法も併せて紹介しています。
移行を検討するにあたっては、まず組織内でVBScriptが利用されていないかを確認する必要があります。Microsoft社はSysmonなどのツールを用いて組織内での利用状況を調査する方法を紹介していますので、移行する際にはそちらも参考にしてください。組織内での利用を確認した場合は、JavaScriptやPowerShellなどのスクリプト言語への移行を推奨します。
まとめ
今月は検出数が増加したVBScriptを悪用したマルウェアについて紹介しました。これらはほかのマルウェアへの感染を狙ったダウンローダーとしての悪用も確認されています。また、VBScriptは2027年での廃止が決定していますが、それまではVBScriptを悪用したマルウェア感染の脅威が続きます。VBScriptの全面無効化は効果的な対策になるので、まだ組織内で利用している場合は早めにほかのスクリプト言語に移行することを推奨します。
常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。
- 1. セキュリティ製品の適切な利用
- 1-1. ESET製品の検出エンジン(ウイルス定義データベース)をアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。 - 1-2.複数の層で守る
1つの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。 - 2. 脆弱性への対応
- 2-1.セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行ってください。また、マルウェアの多くが狙う「脆弱性」は、Office製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行ってください。 - 2-2.脆弱性診断を活用する
より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。 - 3. セキュリティ教育と体制構築
- 3-1.脅威が存在することを知る
「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。 - 3-2.インシデント発生時の対応を明確化する
インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。 - 4. 情報収集と情報共有
- 4-1.情報収集
最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社をはじめ、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。 - 4-2.情報共有
同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとのISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。
