NEWS

ニュース | 最新のニュースをお届けします

再び「Bebloh」感染を狙ったメールによる大型攻撃キャンペーンを確認

この記事をシェア

2016年6月に、バンキングトロージャン「Bebloh」感染を狙ったメールによる「ばらまき型」攻撃が確認されたことをお伝えしましたが、つい先日となる2016年9月12日から9月14日にかけて、再び「Bebloh」感染を狙ったメールによる大型のキャンペーンが確認されています。さらに、この攻撃は9月20日から現在にかけても行われていることが確認されています。
※バンキングトロージャンとは、利用者のログイン、パスワードなど情報を盗み取る特徴を持っています。

この感染を狙ったメールですが、いずれも日本語メールで、件名が「【要連絡】修繕依頼」「写真」「写真 ご送付いただきまして ありがとうございます」「様写真」「注文書」といった様々な種類のものに、添付ファイル「1468730430764.jpg 1468730502832.jpg 1468730565176.jpg.jpg.exe 」というようなマルウェア実行ファイルをアーカイブしたZIPファイルが添付されたものが多く確認されており、弊社ESETサポートセンターならびにマルウェア解析サービスへのご相談が増えています。以下は確認されたメールの一例になります。

今回の確認されたメールに添付されたマルウェアの一例(エクスプローラ拡張子非表示の場合)
0.jpg
メール例1 ヤマト運輸を装ったメール
1.jpg
メール例2 修繕依頼を装ったメール
2.jpg
メール例3 写真送付を装ったメールその1
3.jpg
メール例4 写真送付を装ったメールその2
4.jpg
メール例5 注文書を装ったメール
5.jpg

この添付ファイルであるZIPファイルを展開すると、二重(多重)拡張子でファイル名が付けられています。このファイルですが、実際にはexe形式の実行アプリケーションであり、開いたユーザーに対して気づかせないようにするなど対策を施しています。

上記のメールの例でもそうですが、「写真」の送付を装ったメールが非常に多くなってきています。もし、現在知人や取引先との間で写真データのやりとりをメールで行われている場合は、できるだけメールによるやりとりをなくし、当事者間同士でしかわからないデータの受け渡し手段に切り替えるようにした方がいいでしょう。例えば、ウイルスチェック等が行われているファイル転送サービスなどを利用してやりとりした方がこうしたことに対するリスクは下げられますし、これに加えてメール無害化サービスなども活用することで、今後押し寄せるメールに対するマルウェア感染のリスクも下げられます。

今回メールに添付されたマルウェアですが、ESETでは「Win32/Spy.Bebloh.K」「Win32/GenKryptik」として検出対応したところ、2016年9月12日から9月13日にかけて、日本で検知したマルウェアとしては非常に高い数値を出す状況となりました。

日本での「Bebloh」ファミリーの9/12~9/18までの検出状況(2016年9月20日12:00時点)
6.jpg

また、「Win32/Bebloh」に関する周期的な活動が見られる兆候が現在のところあります。次のグラフはESET VIRUSRADARにて公開されている検出に関する統計情報になりますが、日本での検出状況を週間単位で見ていくと、今月に入ってから毎週火曜日が攻撃と検出のピークを示していることが確認されています。今月最初の検出ピークが9月6日で、次のピークが9月13日でした、さらに本日9月20日も多くのメール攻撃が現在確認されている最中です。本日の統計結果については、改めて後日に本ページにて更新させていただきたいと思いますが、現時点において攻撃と検出に関して極めて特徴的な傾向を見せていると言えます。

日本での「Bebloh」ファミリーの9/18まで一か月間の検出状況(2016年9月20日12:00時点)※ESET社「VIRUSRADAR」より
7.jpg

追記 2016/09/23
9/21までの検出状況が分かりましたので、以下の通り補足として追記しています。

日本での「Bebloh」ファミリーの9/21まで一か月間の検出状況(2016年9月23日11:00時点)※ESET社「VIRUSRADAR」より
9.jpg

このグラフの状況から、今月(9月)の毎週火曜日の検出率は、以下の通りとなりました。

日本での9月度毎週火曜日の検出率(2016年9月23日11:00時点)※ESET社「VIRUSRADAR」より

日付

ESETによる日本での検出率

9/6

41.87%

9/13

46.78%

9/20

50.99%


この一年間での検出状況においても、6月以降増えている状況にあります。今月に入り月間での検出割合も検出されたマルウェア全体の10%超える「Bebloh」ファミリーを検出する状況になっています。

日本での「Bebloh」ファミリーの9/18まで一か月間の検出状況(2016年9月20日12:00時点)※ESET社「VIRUSRADAR」より
8.jpg

※なお、これらの統計は、ESET社VIRUSRADARより、確認することができます。


追記 2016/09/23
全体の統計においても数値を押し上げる状況となっています。現時点(2016年9月21日までの集計)において、全体の16%を超えています。

日本での「Bebloh」ファミリーの9/21まで一か月間の検出状況(2016年9月23日11:00時点)※ESET社「VIRUSRADAR」より
10.jpg

「Bebloh」感染は以前からお伝えしている通り、日本語メールによる攻撃で日本のユーザーを標的としたものですので、今後も「Bebloh」亜種による日本語メールによる攻撃が継続されると思われます。引き続きメール対する取扱いに注意してください。また、感染に気付くのが遅れるケースもあります。そのような場合に備え、ログインに必要なパスワードなどは定期的に変更するなどに心がけていただき、リスクを最小限にできるよう対応してください。

なお、このウイルスは、ESET製品にて以下の通り検出されます。


■ 対応しているウイルス定義データベースと検出名
2016年6月15日(日本時間)に配信されたウイルス定義データベースにて、下記の検出名で再定義されました。 ウイルス定義データベースにて、下記の検出名で検出されます。このウイルス自身は2009年から確認されているタイプのものであり、当初より定義されたものではありますが、再定義により検出精度の向上を図っています。

ウイルス定義データベース:13648 (20160615) 以降

Win32/Spy.Bebloh.K トロイの木馬
Win32/Spy.Bebloh.M トロイの木馬
Win32/Spy.Beblohの亜種 トロイの木馬
Win32/GenKryptik トロイの木馬
Win32/GenKryptikの亜種 トロイの木馬
Win32/Injectorの亜種 トロイの木馬

※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。

※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。

また、クラウドマルウェアプロテクションシステムによるLiveGrid検出では、
  Suspicious File
  Genentik の亜種 トロイの木馬
として検出されます。


■ 常日頃からリスク軽減するための対策について

各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。

1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする

ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。

2. OSのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。

3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行い、脆弱性を解消してください。

4. データのバックアップを行っておく

万が一ウイルスに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。 念のため、データのバックアップを行っておいてください。

5. 脅威が存在することを知る

「知らない人」よりも「知っている人」の方がウイルスに感染するリスクは低いと考えられます。ウイルスという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
この記事をシェア

標的型攻撃のセキュリティ対策に

引用・出典元

マルウェア情報局の
最新情報をチェック!