NEWS

ニュース | 最新のニュースをお届けします

2015年9月度におけるマルウェアの動向(国内)

この記事をシェア

2015年9月に国内で検出されたマルウェアの上位に、第一に、国別で見た場合に日本における出現率が高い「Iframe」や「Wauchos」が第二に、長期にわたって世界的に猛威をふるい続けている「Waski」や「ScrInject」「Zbot」が入りました。また「JS/Exploit.Agent」は10位以内に3つの亜種(「NKM」「NKQ」「NKP」)が入りました。

ESETのウイルスレーダーによれば、国内における9月度のマルウェアは、1位の「Iframe」と2位の「Waski」だけで16.45%の出現率を占めました。以下3位から10位までは1~2%台となりました。

日本のセキュリティ脅威トップ10(ESET ThreatSense.NetR(2015年9月より)

日本のセキュリティ脅威トップ10(ESET ThreatSense.NetR(2015年9月より)

1位から10位までのマルウェアを内容で見てみると、1)国別で見た場合に日本における出現率が高いもの、2)長期にわたって世界的に猛威をふるい続けているもの、3)「JS/Exploit.Agent」の亜種、に分けることができます。

1 国別で見た場合に日本における出現率が高いマルウェア
1位の「Iframe」(10%)と5位の「Wauchos」(1.78%)が含まれます。

「Iframe」はインターネットから別のマルウェアをダウンロードしようとするトロイの木馬です。プログラムコードは通常、HTMLページに埋め込まれています。2006年2月に「JS/TrojanDownloader.Iframe」として最初に検出されて以来、長期にわたって活動しており、特に2012年6月には世界的に猛威をふるいました。

世界における「Iframe」の出現率の変化(2008年3月1日~2015年9月17日)

世界における「Iframe」の出現率の変化(2008年3月1日~2015年9月17日)

国別に見るとスリランカが最も出現率が高く、続いて日本、トルコ、韓国、ドイツ、スウェーデンなど、局地的に攻撃が激化しています。

「Iframe」の国別出現率の違い(2015年9月) 赤は出現率が高く、緑は出現率が低い

「Iframe」の国別出現率の違い(2015年9月) 赤は出現率が高く、緑は出現率が低い

国内では、2015年2月から上昇し始め、月によって若干波があるものの、その後増加傾向にあり、9月になって急増しました。

国内における「Iframe」の出現率の月別変化(2014年12月~2015年11月)

国内における「Iframe」の出現率の月別変化(2014年12月~2015年11月)

こうした国内における「Iframe」による攻撃の増加の背景には、CDN(コンテンツ・デリバリー・ネットワーク)サービスを行っている米大手企業CloudFlareへのDDoS攻撃があります。

「Iframe」の攻撃の流れは、以下の通りです。

1)ユーザーが、スマートフォンで不用意にインターネットを閲覧、またはアプリを開く

2)ユーザーにIframeで広告が配信される

3)広告コンテンツが、広告ネットワークからリクエストされる

4)広告ネットワークが、広告オークションで勝ったサードパーティーにリクエストを転送する

5)サードパーティーのWebサイトが「攻撃ページ」であるか、ユーザーを「攻撃ページ」にリダイレクトする

6)ユーザーは悪意のあるJavaScriptを含む攻撃ページにリダイレクトされ、CloudFlareのサーバーに対しXHRリクエストを行うフラッド攻撃が実行される

DDoS攻撃は、ネットワークやサーバーインフラストラクチャをターゲットとし、サービス停止を引き起こしますが、同時に、感染または乗っ取ったスマートフォンを攻撃の足掛かりとします。

「Wauchos」はインターネット上から別のマルウェアをダウンロードしようとするトロイの木馬です。2012年5月に「Win32/TrojanDownloader.Wauchos」として出現して以来、世界的に活動が激しく、頻繁にランキングされ続けています。

国内における「Wauchos」の出現率の月別変化(2014年12月~2015年11月)

国内における「Wauchos」の出現率の月別変化(2014年12月~2015年11月)

国内でも2014年12月から2015年にかけて長期にわたって出現率が高いまま推移しています。また世界的に見ると、イタリア(2.44%)、チェコ(1.88%)に次いで感染率が高くなっており、特定の地域で活発化していることが分かります。

世界各国における「Wauchos」の出現率の違い(2015年9月) 赤は出現率が高く、緑は出現率が低い

世界各国における「Wauchos」の出現率の違い(2015年9月) 赤は出現率が高く、緑は出現率が低い

2 長期にわたって世界的に猛威をふるい続けているマルウェア
2位の「Waski」(6.45%)や4位の「ScrInject」(2.40%)、10位の「Zbot」(1.10%)が含まれます。

「Waski」は「Wauchos」と同じくインターネット上から別のマルウェアをダウンロードしようとするトロイの木馬で、2013年11月に「Win32/TrojanDownloader.Waski」として検出されて以来長期間にわたって猛威をふるっています。2015年2月から3月に感染率が急上昇しピークとなり、その後鎮静化すると思われたのですが、2015年7月より再び上昇に転じ、8月、9月と引き続き活発な動きを見せています。

日本における「Waski」の出現率の月別変化(2014年12月~2015年11月)

日本における「Waski」の出現率の月別変化(2014年12月~2015年11月)

しかも下記のグラフで示されるように、「Waski」の流行は国内に限ったことではなく世界的な現象となっています。特にアイルランド、英国、ニュージーランド、オーストラリアといった英語圏では日本よりも感染率が高くなっているのが特徴です。

世界における「Waski」の出現率の変化(2013年11月14日~2015年9月29日)

世界における「Waski」の出現率の変化(2013年11月14日~2015年9月29日)

[関連記事]
世界的に猛威を振るうバンキング・トロージャン「Waski」 (トレンド解説)

「ScrInject」は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。 とても息の長いマルウェアで、2009年7月に「HTML/ScrInject」として出現し、2012年7月に活動のピークがあった後もしばしば上位に上がってきました。

国内における「ScrInject」の出現率の月別変化(2014年12月~2015年11月)

国内における「ScrInject」の出現率の月別変化(2014年12月~2015年11月)

国内では急上昇はしていないものの、2014年下半期以降、かなり高い率で検出され続けています。海外ではモンゴル、ルーマニア、米国、アゼルバイジャンなどが日本よりもかなり高い比率で出現しています。

[関連情報]
最新ウイルス情報 : HTML/ScrInject 公開日:2013年3月13


「Zbot」は2007年ごろより出現し「Win32/Spy.Zbot」として検出されるバックドアの機能を備えたトロイの木馬です。パスワードなどの個人情報を盗み出すために長期間にわたって用いられ、2013年5月に活動のピークがありました。国内では2014年3月にオンラインバンキングを標的とした攻撃に使用されたことで知られています。また、2015年の6月にも出現率が増加し、その影響が9月まで続いています。

国内における「Zbot」の出現率の月別変化(2014年12月~2015年11 月)

国内における「Zbot」の出現率の月別変化(2014年12月~2015年11 月)

[関連情報]
Zbot (キーワード事典)
日本で蔓延しているWebサイト改ざんによるウイルス感染の注意喚起について)


3 「JS/Exploit.Agent」の亜種
3位の「NKM」(2.62%)、6位の「NKQ」(1.53%)、7位の「NKP」(1.43%)が含まれます。

「NKM」は2015年9月2日に新たに出現したトロイの木馬です。HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。世界的に9月6日に活動がピークとなり、その後終息しています。

世界における「JS/Exploit.Agent.NKM」の出現率の日別変化(2013年9月2日~2015年10 月6日)

世界における「JS/Exploit.Agent.NKM」の出現率の日別変化(2013年9月2日~2015年10 月6日)

「NKQ」は2015年9月11日に新たに出現したトロイの木馬です。HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。2015年9月30日に世界的に出現がピークとなり(1.63%)、10月上旬まで活動の痕跡が見られますが、その後、別の亜種に切り換えられました。

世界における「JS/Exploit.Agent.NKQ」の出現率の日別変化(2013年9月11日~2015年11 月1日)

世界における「JS/Exploit.Agent.NKQ」の出現率の日別変化(2013年9月11日~2015年11 月1日)

「NKP」は2015年9月7日に新たに出現したトロイの木馬です。HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの検出名です。通常は悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。2015年9月8日に世界的に活発な動きを見せ(1.29%)、その日限りで活動は終息し、攻撃は他の亜種に引き継がれました。

世界における「JS/Exploit.Agent.NKP」の出現率の日別変化(2013年9月7日~2015年10 月7日)

世界における「JS/Exploit.Agent.NKP」の出現率の日別変化(2013年9月7日~2015年10 月7日)

4 その他
8位の「JS/Iframe」(1.42%)と9位の「LINK/Agent.BS」(1.33%)が含まれます。

「JS/Iframe」は2005年 2月に新たに出現し、2012年4月に猛威をふるったトロイの木馬です。悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。

国内における「JS/Iframe」の出現率の月別変化(2014年12月~2015年11月)

国内における「JS/Iframe」の出現率の月別変化(2014年12月~2015年11月)

「JS/Iframe」は長年にわたって活動を続けており、2015年9月にも出現率が高まりました。国別では中国、台湾で活発です。

世界における「JS/Iframe」の出現率の変化(2009年5月1日~2015年10 月17日)

世界における「JS/Iframe」の出現率の変化(2009年5月1日~2015年10 月17日)

「LNK/Agent.BS」は2015年6月に新たに出現しました。正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、かつて国内でも猛威をふるった「オートラン」(autorun.inf)と同様の影響を及ぼします。

2015年9月24日に世界的に出現率が大きく上昇(24.75%)し、その後も比較的活発です。ただし地域としてはアフガニスタン、グアテマラ、ガーナ、カメルーン、バングラデシュなどで猛威をふるっている(7~14%台)一方、国内における出現率はそれらの国と比べるとかなり低くなっています。

世界における「Agent.BS」の出現率の変化(2015年6月30 日~2015年11月1日)

世界における「Agent.BS」の出現率の変化(2015年6月30 日~2015年11月1日)

以上のマルウェアトレンドの解析は、主にESETラボのデータベースに基づいて行っています。ESETラボには「ThreatSense.Net」というクラウドシステムがあり、世界中のESETユーザーからのマルウェア情報が収集されています。

このシステムによって、世界中のマルウェアの性質と分布範囲に関するリアルタイムかつ正確な情報を得ることができます。

ESETのウイルスラボの専門家は、このシステムを活用して脅威や攻撃経路、パターンの細かい分析を行い、将来の脅威からユーザーを守るために、ヒューリスティックやウイルス定義データベースの更新に役立たせています。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!