SecurityInsight | セキュリティインサイト

キヤノンITS、2017年6月のマルウェア検出レポートを公開

キヤノンITソリューションズ(キヤノンITS)は8月7日、2017年6月のマルウェア検出状況に関するレポートを公開した。これは、ウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データを基に、2017年6月のマルウェア検出状況を分析したものとなっている。その概要は以下のとおり。

2017年6月は、情報搾取やランサムウェア感染を狙う「ダウンローダー」と呼ばれるマルウェアに、Microsoft社関連の開発コードが使用されるケースが増加した。特にMicrosoft Office製品のマクロ機能「VBA」や、プログラム言語「PowerShell」を使用したマルウェアの増加量が高く、5月に比べ「VBA」が17倍、「PowerShell」が12倍となった。「PowerShell」はWindows7以降のOSに標準搭載されているツールで、今後もダウンローダーに限らずマルウェアの作成に使用される可能性が高いものとみている。

■上位5種のマルウェアの概要
1位「JS/Danger.ScriptAttachment」
JavaScript言語で作られたダウンローダーで、メールに添付されたファイルから検出されている。発症するとランサムウェアや情報搾取型マルウェアをダウンロードし感染を狙う。1月から4月は減少傾向で推移していたが、5月14日以降は約2週間の間隔で大量のばらまき型メール攻撃が観測されている。6月だけで30万件以上検出する結果となった。

2位「VBA/TrojanDownloader.Agent」
主にMicrosoft Office製品のマクロ機能で使用されるVBAで作られたダウンローダー。6月末に特に大規模な攻撃が行なわれ、検出数は4月と5月の総検出量を上回り、25万件を超えた。

この不正プログラムを組み込んだファイルの多くは請求書を装ったものであり、添付メールで送り付けるケースが数多く確認されている。いずれも「コンテンツの有効化」をクリックするよう誘導する内容が書かれていて、クリックするとダウンローダーとして機能する。最近ではメール本文も自然な日本語を使っていて、社内の部署を装ったケースなどもあり、偽装メールと判断しにくくなっている傾向がある。

3位「PDF/TrojanDropper.Agent」
6月6日から8日にかけて多発した「Jaff」ランサムウェア感染の「ドロッパー」として用いられていたことが確認されている。ドロッパーは、それ自体には不正コードが含まれないため入口対策では検出されにくく、システム内部に侵入した後に、何らかのタイミングでマルウェアを投下(=ドロップ)し、感染を狙う。「Jaff」ランサムウェアは6月だけで1月から5月までの総検出量を大きく上回っている。

4位「Suspicious」(不審ファイルの呼称)
ESET製品によって検出されたマルウェアにまだ名称がない場合、その不審ファイルを指す名称が「Suspicious」で、検出量が4位となった。このように、ウイルス定義データベースによる検出ではない、未知のマルウェアと見られるものが多く検出された。

5位「PowerShell/TrojanDownloader.Agent」
PowerShellで作られたダウンローダー。6月に確認されている攻撃では、メールを使ってMicrosoft Word形式ファイルを送り付け、そこに組み込まれたマクロが実行されると、Windowsのコマンドプロンプトが呼び出され、そこからPowerShellを使用してマルウェアのダウンロードと実行が行なわれていた。コマンドプロンプトから先の処理は、ファイルから実行されずメモリー上で展開されることもある。実行形跡が残らないため、原因の特定が遅れることにつながっている。

上位に入ったマルウェアは、マルウェアが添付された「ばらまき型メール攻撃」が多くを占めており、そのメール攻撃量もたいへん多い状況が続いている。添付されているファイルは新種もしくは亜種のマルウェアが多く、ファイル形式は、ZIP圧縮形式(実行形式や文書形式ファイルが圧縮されている)、文書形式(PDF、DOC、XLS)などさまざま。日頃からよく利用されるファイル形式でもあるため、取り扱いに十分注意する必要がある。
 

関連リンク

プレスリリース