NEWS

ニュース | 最新のニュースをお届けします

2015年10月度におけるマルウェアの動向について(国内)

この記事をシェア

出荷のお知らせメールや複合機からの送信メール(いずれも日本語)の添付ファイルを偽装して感染させようとする巧妙なマルウェアが新たに発見されました。そのほか、上位には既出のマルウェアがランクインしました。

ESETのウイルスレーダーによれば、国内における10月度の上位マルウェアは、9月に続いて上位を占めたマルウェアが最も多く、その次に、2015年に活動が顕著だったものが続きました。これらはいずれも既存のマルウェアでしたが、5位と9位は10月に新たに出現したもので、しかも、出荷のお知らせメールや複合機からの送信メール(いずれも日本語)の添付ファイルを偽装して感染させようとする巧妙なものでした。

1 9月に続いて上位を占めたマルウェア
2 10月に再び上位に入った既出マルウェア
3 新たに発生したマルウェア

日本のセキュリティ脅威トップ10(ESET ThreatSense.NetR(2015年10月)より)

日本のセキュリティ脅威トップ10(ESET ThreatSense.NetR(2015年10月)より)

1 9月に続いて上位を占めたマルウェア

マルウェアランキング10位までのうち、以下の5つのマルウェアが、先月(2015年9月)とほぼ同じように上位を占めました。

  • アイフレーム(JS/TrojanDownloader.Iframe) 1位(9月)→1位(10月)
  • ワスキ(Win32/Trokandownloader.Waski) 2位(9月)→2位(10月)
  • ワウチョス(Win32/TrojanDownloader.Wauchos) 5位(9月)→3位(10月)
  • Scrインジェクト(HTML/ScrInject) 4位(9月)→4位(10月)
  • アイフレーム(JS/Iframe) 8位(9月)→7位(10月)

国内におけるアイフレームの出現率は特に2015年9月、10月がピークであり、その後11月以降については低下傾向にあります。

国内における「アイフレーム」の出現率の月別変化(2015年1月~2015年12月)

国内における「アイフレーム」の出現率の月別変化(2015年1月~2015年12月)

世界各国の動向と比較すると、9月、10月についてはスリランカに続いて日本も出現率が高かったのですが、11月にはトルコ、スリランカ、ドイツ、韓国、ノルウェー等が上位を占めて、日本への攻撃は相対的に下がっています。

「アイフレーム」の国別出現率の違い(2015年10月) 赤は出現率が高く、緑は出現率が低い

「アイフレーム」の国別出現率の違い(2015年10月) 赤は出現率が高く、緑は出現率が低い

この5つのマルウェアの情報については2015年9月のニュースと内容が重複しますので、下記の「参考情報」のリンク先をご覧ください。

[参考情報]
2015年9月度におけるマルウェアの動向(国内) (ニュース)

2 10月に再び上位に入った既出マルウェア

先月(2015年9月)には上位にはなかったものの、再び活発な動きをしている既存のマルウェアは以下の3点です(順位の後の数字は初出の年月)。

  • インジェクター(MSIL/Injector.YT) 6位(2012年4月)
  • オートラン(INF/Autorun.Sz) 8位(2011年4月)
  • オンラインゲームズ(Win32/PSW.OnLineGames) 10位(2007年5月)

インジェクターは、Microsoft.NET環境で動作するマルウェアで、悪意のあるペイロードを感染システムに挿入し、新しいプロセスを作成します。国別で見ると、スリナム、オーストリア、エストニア、ドイツ、フィンランドで多発しています。

「インジェクター」の国別出現率の違い(2015年10月)

「インジェクター」の国別出現率の違い(2015年10月)

世界的には2015年10月24日に活動のピークがあるのですが、チャートで見る限り、なだらかではありますがその後も上昇の気配を示していますので、依然として注意が必要です。

世界における「インジェクター」の出現率の変化(2015年5月18日~2015年12月4日)

世界における「インジェクター」の出現率の変化(2015年5月18日~2015年12月4日)

オートランは「autorun.inf」ファイルを使用し、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行させます。このマルウェアはメールやボットを使って短期的かつ爆発的に拡散する傾向になく、長期的に出現するという特徴があります。

世界における「オートラン」の出現率の変化(2013年6月22日~2015年12月5日)

世界における「オートラン」の出現率の変化(2013年6月22日~2015年12月5日)

オンラインゲームズは、名称にあるようにオンラインゲームのパスワードなどの個人情報の窃取を目的としたトロイの木馬です。打ち込まれたパスワードがリモートのコンピューターに送信されるようにプログラムが組み込まれています。2008年8月に世界的に猛威をふるい、その後は一時期のピークは過ぎていますが、長期的に活動が続いています。また、亜種も多発し、さまざまなオンラインゲームのパスワードが狙われ続けています。

世界における「オンラインゲームズ」の出現率の変化(2007年9月26日~2015年11月7日)

世界における「オンラインゲームズ」の出現率の変化(2007年9月26日~2015年11月7日)

また、各国別で見ると、日本での出現率は相対的に高くなっており、台湾と並んで同率1位です。続いて、スペイン、ポーランド、ギリシアが上位を占めています。

「オンラインゲームズ」の国別出現率の違い(2015年10月)

「オンラインゲームズ」の国別出現率の違い(2015年10月)

[関連情報]
最新ウイルス情報 : MSIL/Injector.G

2013年1月の月間マルウェアランキング結果発表

2015年6月度におけるマルウェアの動向について(国内) (ニュース)
 

3 新たに発生したマルウェア

2015年10月のマルウェアランキングで新たに登場したのは、5位のマクロウイルス「エージェントAED」(VBA/Trojandownloader/Agent.AED)です。これはすでに2015年10月29日のニュースで取り上げられているように、「出荷のご案内」や「複合機」を装った日本語の標的型メールによる攻撃です。2015年10月8日に初めて検出されました。

エージェントAED はトロイの木馬型のマクロウイルスで、下記のような日本語による業務メールを偽装し、添付ファイル(Microsoft Word形式)をクリックすることによって感染します。

上が「出荷のご案内」、下が複合機からの送信メール。※一部伏せております。

上が「出荷のご案内」、下が複合機からの送信メール。※一部伏せております。

もしもこの添付ファイルをクリックすると(かつ、マクロの許可があると)実行ファイルである「fDe12.exe」が起動しますが、これが10月の9位にランキングしている「クリプティク」(Win32/Kryptik.EBUD)で、他の悪意のあるソフトウェアを呼び込む機能によって、インターネットから別のマルウェア(バンキングトロージャン)をダウンロードしようとします。

クリプティクが2015年10月23日に初めて検出されているのは、メールの一斉攻撃が行われた10月8日の後、多くの人がこのメールを疑わしいと考えて開かなかったにもかかわらず、一部の人が23日に開いてしまったためと考えられます。

エージェントAEDについては、世界的に見ると、英国が最も発生率が高く、次が日本で、ほかに中国や米国などに集中しています。

「エージェントAED」の国別出現率の違い(2015年10月)

「エージェントAED」の国別出現率の違い(2015年10月)

短期間で収束しているのは、短期的かつ爆発的に拡散させたためです。ただし注意しなければならないのは、以後も亜種が登場していることです。異なる文面のメールも発見されており、日本語による業務メールを偽った攻撃については今後も予断を許しませんので、十分な注意が必要です。

世界における「エージェントAED」の出現率の変化(2015年10月8日~2015年12月5日)

世界における「エージェントAED」の出現率の変化(2015年10月8日~2015年12月5日)

[関連情報]
2015年10月のマルウェアランキング結果発表

以上のマルウェアトレンドの解析は、主にESETラボのデータベースに基づいて行っています。ESETラボには「ThreatSense.Net」というクラウドシステムがあり、世界中のESETユーザーからのマルウェア情報が収集されています。

このシステムによって、世界中のマルウェアの性質と分布範囲に関するリアルタイムかつ正確な情報を得ることができます。

ESETのウイルスラボの専門家は、このシステムを活用して脅威や攻撃経路、パターンの細かい分析を行い、将来の脅威からユーザーを守るために、ヒューリスティックやウイルス定義データベースの更新に役立たせています。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!