2016年6月に、バンキングトロージャン「Bebloh」感染を狙ったメールによる「ばらまき型」攻撃が確認されたことをお伝えしましたが、つい先日となる2016年9月12日から9月14日にかけて、再び「Bebloh」感染を狙ったメールによる大型のキャンペーンが確認されています。さらに、この攻撃は9月20日から現在にかけても行われていることが確認されています。
※バンキングトロージャンとは、利用者のログイン、パスワードなど情報を盗み取る特徴を持っています。
この感染を狙ったメールですが、いずれも日本語メールで、件名が「【要連絡】修繕依頼」「写真」「写真 ご送付いただきまして ありがとうございます」「様写真」「注文書」といった様々な種類のものに、添付ファイル「1468730430764.jpg 1468730502832.jpg 1468730565176.jpg.jpg.exe 」というようなマルウェア実行ファイルをアーカイブしたZIPファイルが添付されたものが多く確認されており、弊社ESETサポートセンターならびにマルウェア解析サービスへのご相談が増えています。以下は確認されたメールの一例になります。
この添付ファイルであるZIPファイルを展開すると、二重(多重)拡張子でファイル名が付けられています。このファイルですが、実際にはexe形式の実行アプリケーションであり、開いたユーザーに対して気づかせないようにするなど対策を施しています。
上記のメールの例でもそうですが、「写真」の送付を装ったメールが非常に多くなってきています。もし、現在知人や取引先との間で写真データのやりとりをメールで行われている場合は、できるだけメールによるやりとりをなくし、当事者間同士でしかわからないデータの受け渡し手段に切り替えるようにした方がいいでしょう。例えば、ウイルスチェック等が行われているファイル転送サービスなどを利用してやりとりした方がこうしたことに対するリスクは下げられますし、これに加えてメール無害化サービスなども活用することで、今後押し寄せるメールに対するマルウェア感染のリスクも下げられます。
今回メールに添付されたマルウェアですが、ESETでは「Win32/Spy.Bebloh.K」「Win32/GenKryptik」として検出対応したところ、2016年9月12日から9月13日にかけて、日本で検知したマルウェアとしては非常に高い数値を出す状況となりました。
また、「Win32/Bebloh」に関する周期的な活動が見られる兆候が現在のところあります。次のグラフはESET VIRUSRADARにて公開されている検出に関する統計情報になりますが、日本での検出状況を週間単位で見ていくと、今月に入ってから毎週火曜日が攻撃と検出のピークを示していることが確認されています。今月最初の検出ピークが9月6日で、次のピークが9月13日でした、さらに本日9月20日も多くのメール攻撃が現在確認されている最中です。本日の統計結果については、改めて後日に本ページにて更新させていただきたいと思いますが、現時点において攻撃と検出に関して極めて特徴的な傾向を見せていると言えます。
追記 2016/09/23
9/21までの検出状況が分かりましたので、以下の通り補足として追記しています。
このグラフの状況から、今月(9月)の毎週火曜日の検出率は、以下の通りとなりました。
|
日本での9月度毎週火曜日の検出率(2016年9月23日11:00時点)※ESET社「VIRUSRADAR」より |
|
|
日付 |
ESETによる日本での検出率 |
|
9/6 |
41.87% |
|
9/13 |
46.78% |
|
9/20 |
50.99% |
この一年間での検出状況においても、6月以降増えている状況にあります。今月に入り月間での検出割合も検出されたマルウェア全体の10%超える「Bebloh」ファミリーを検出する状況になっています。
※なお、これらの統計は、ESET社VIRUSRADARより、確認することができます。
追記 2016/09/23
全体の統計においても数値を押し上げる状況となっています。現時点(2016年9月21日までの集計)において、全体の16%を超えています。
「Bebloh」感染は以前からお伝えしている通り、日本語メールによる攻撃で日本のユーザーを標的としたものですので、今後も「Bebloh」亜種による日本語メールによる攻撃が継続されると思われます。引き続きメール対する取扱いに注意してください。また、感染に気付くのが遅れるケースもあります。そのような場合に備え、ログインに必要なパスワードなどは定期的に変更するなどに心がけていただき、リスクを最小限にできるよう対応してください。
なお、このウイルスは、ESET製品にて以下の通り検出されます。
■ 対応しているウイルス定義データベースと検出名
2016年6月15日(日本時間)に配信されたウイルス定義データベースにて、下記の検出名で再定義されました。 ウイルス定義データベースにて、下記の検出名で検出されます。このウイルス自身は2009年から確認されているタイプのものであり、当初より定義されたものではありますが、再定義により検出精度の向上を図っています。
ウイルス定義データベース:13648 (20160615) 以降
Win32/Spy.Bebloh.K トロイの木馬
Win32/Spy.Bebloh.M トロイの木馬
Win32/Spy.Beblohの亜種 トロイの木馬
Win32/GenKryptik トロイの木馬
Win32/GenKryptikの亜種 トロイの木馬
Win32/Injectorの亜種 トロイの木馬
※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。
※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。
また、クラウドマルウェアプロテクションシステムによるLiveGrid検出では、
Suspicious File
Genentik の亜種 トロイの木馬
として検出されます。
■ 常日頃からリスク軽減するための対策について
各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。
1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。
2. OSのアップデートを行い、セキュリティパッチを適用する
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。
3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する
各種アプリのアップデートを行い、脆弱性を解消してください。
4. データのバックアップを行っておく
5. 脅威が存在することを知る
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
