2017年上半期における国内のマルウェア出現状況を集計（ESET LiveGridデータベースによる）した結果、上位10種のうちメール経由によるダウンローダーが7割を占めた。

2017年上半期 国内検出マルウェア上位10種

上記のESET製品による検出名から分かるように、JS（JavaScript）のほか、VBA、PowerShellなどのさまざまなプログラミング言語が用いられている。これは、過去の攻撃と比べると手法自体はそれほど変わらなくても、プログラミング言語を意図的に変えて、対策の網の目をかいくぐろうとしていることを意味する。しかも新たにマルウェアを作成するよりも比較的手間がかからないため、攻撃者に好まれている。

中でも圧倒的に多かったのはJavaScriptを用いたものである。2016年の3月ごろから急増し、2017年1月に、そして5月以降に顕著に増加した。これは国内だけではなく、世界的な傾向でもある。

次いで、VisualBasicも目立った。これはMicrosoftのOffice Word/Excelのマクロ機能を悪用しているので「マクロウイルス」とも言われる。特に日本に対する攻撃に多用され、2017年6月以降に活動が目立っている。

また、PowerShell言語を利用したダウンローダー型マルウェアも2017年5月以降に急増した。他のマルウェアをダウンロードさせるためのプログラムはそれほど複雑ではないため、わずか1行のプログラムも見つかっている。

その他、PDFを悪用したマルウェアも増加している。ZIPなどの圧縮ファイルの代わりにPDFの添付ファイル機能が悪用され、PDFを開くと同時に添付ファイルも自動的に開かれ、Wordが起動する。画面上にはマクロ機能を有効にすることを求めるメッセージが表示され、有効にするとマルウェアのダウンロードが開始される。

流暢な日本語の表示による攻撃が多発

こうしたメール攻撃は、これまでは主に英語表記のものが多く、ユーザーはそれほど注意しなくても感染を避けることができた。しかし近年、流暢な日本語で書かれたメールが増加し、うっかり開いてしまう恐れがあるため、今まで以上の注意が必要になってきている。

例えば、2017年上半期に発生が目立った情報搾取型マルウェア「アースニフ」（Ursnif）は、配送業者を装った発送案内のメールの添付ファイルを装ってクリックさせ、マクロ機能を有効にするが、メールの文面は流暢な日本語であり、表示されている日付も現実に近い設定になっている。

情報搾取型マルウェア「アースニフ」」が攻撃に用いる日本語メールの例

また、請求書を偽装した添付ファイルを開かせ、マクロ機能が有効化されるとその後本当の感染目的のマルウェアをダウンロードさせるという手口も用いられているが、この請求書も自然な日本語で作成されている。

2017年6月に確認された偽装請求書

さらに別の例でも、メールの宛先が「本社管理部」で、文面は「お疲れ様です。添付ファイルのご確認、宜しくお願いいたします。」といった自然な日本語で書かれている。しかも、署名の欄にはよく使われがちな「東日本営業部」という署名まであり、とても工夫されている。もちろん、この添付ファイルを開いてしまうと感染する。

アースニフ感染を狙った手口例

これは、これまでのメールは明らかに日本語としてどこか不自然だったのだが、今後は自然に見えたとしてもマルウェアに感染する危険性がある、ということを意味している。

さらに、メールだけでなく、偽（模倣）サイトによるフィッシングも自然な日本語で作成されたものが目立ち、2016年末、2017年4月以降に顕著に増加している。例としては、Microsoftの「ソフトウェア認証」や「サポート」を装ったサイトや警察庁を模倣したサイトが発見されている。特に偽「サポート」サイトはページを開くと自然な日本語音声が流れてくるため、もしもユーザーが音声をオンにしたままこの偽サイトを開いてしまうと、内容をそのままうのみにしてしまう恐れがある。

Microsoftのサポートを装ったページ

以上のように、自然な日本語で書かれたメールやサイトを通じて、情報搾取型マルウェアの感染、偽サイト・フィッシングによる詐欺に遭遇する可能性が非常に高まっているので、注意されたい。それぞれの対策ポイントを以下に挙げる。

情報搾取型マルウェア対策

偽サイト・フィッシング対策