マルウェアレポート 2017年6月版

Size: px

Start display at page:

Download "マルウェアレポート 2017年6月版"

みさきたかはし
5 years ago
Views:

1 VBA PowerShell 利用のマルウェアが急増 Jaff ランサムウェアの検出が増加

3 ショートレポート 2017 年 6 月マルウェア検出状況 : VBA PowerShell 利用のマルウェアが急増 Jaff ランサムウェアの検出が増加 1. 6 月の概況について弊社マルウェアラボでは 2017 年 6 月 1 日から 30 日までの ESET 製品国内利用の検出状況について集計しました全体的にはばらまき型メール攻撃が多く確認されている中 ( 以下グラフの赤字で書かれたもの ) でプログラム言語 (PowerShell) を使ったマルウェアやランサムウェア Jaff が多く検出される状況となりました危険なマルウェア本体を送り込ませるためにより巧妙化複合化されている状況が確認できました国内 6 月のマルウェア検出状況上位 10 種のマルウェア名と割合 ( 上段 : 円グラフ下段 : 表 ) ESET 社 VIRUSRADAR よりマルウェア検出上位 10 種のマルウェアをファミリー別に再集計したもの 1

順位マルウェア名割合 1 JS/Danger.criptAttachment( ダウンローダ ) 19% 2 VBA/TrojanDownloader.Agent( ダウンローダ ) 15% 3 PDF/TrojanDropper.Agent( ドロッパー ) 8% 4 Suspicious( 未知の不審ファイル呼称 ) 7% 5 PowerShell/TrojanDownloader.

4 順位マルウェア名割合 1 JS/Danger.criptAttachment( ダウンローダ ) 19% 2 VBA/TrojanDownloader.Agent( ダウンローダ ) 15% 3 PDF/TrojanDropper.Agent( ドロッパー ) 8% 4 Suspicious( 未知の不審ファイル呼称 ) 7% 5 PowerShell/TrojanDownloader.Agent( ダウンローダ ) 7% 6 HTML/FakeAlert( 偽画面表示 ) 2% 7 JS/Adware.Serhoxs( アドウェア ) 2% 8 Win32/Filecoder.Jaff( ランサムウェア ) 2% 9 Win32/RealNetworks( 望ましくないアプリケーション ) 2% 10 Win32/Filecoder..Locky( ランサムウェア ) 2% 2

5 (1) VBA PowerShell 利用のマルウェア急増について情報搾取やランサムウェア感染を狙うダウンローダと呼ばれるマルウェアの開発コードに使われているプログラム言語として JavaScript と Microsoft Office 製品のマクロ機能を悪用した VBA(Visual Basic for Application) が昨年以降多用されていますが ( 詳細は 2 月のマルウェアレポートを参照リンク差し込み ) 6 月は新たに PowerShell を利用したマルウェアが急増し 10 万件以上確認されました ( 以下グラフ参照 ) その増加量は 5 月と比べ約 12 倍に及んでいます ESET 製品による PowerShell 利用のマルウェア全種類の国内検出状況 ESET 社 VIRUSRADAR より日本国内に絞った検出量を表したもの PowerShell は Microsoft が開発した拡張性のあるコマンドラインとスクリプト言語を持っており Windows の標準ツールとして古くからあるコマンドラインプロンプトを大きく進化させたものといえます現在では Windows システム管理者にとっては重宝するツールへと変わってきておりちょっとした自動化処理に PowerShell を活用される方もいますしかしながら攻撃者によってこの PowerShell も悪用されるケースがここにきて急増しています今後はダウンローダに限らず PowerShell を利用した様々なタイプのマルウェアが作られ攻撃者に利用されるものとみています ( 後ほどマルウェア検出量上位 5 種にて解説 ) また VBA を悪用したダウンローダの検出が今年最も多く検出されました ( 以下グラフ参照 ) VBA を悪用したデータの多くは Microsoft Word 形式と Excel 形式で 5 月と比較して約 17 倍に増加しています 3

6 ESET 製品による VBA 利用のマルウェア全種類の国内検出状況 ESET 社 VIRUSRADAR より日本国内に絞った検出量を表したもの 4

(2) Jaff ランサムウェアの急増についてランサムウェアの検出状況については Jaff ランサムウェアが多く検出されました( 以下グラフ参照 ) 6 月だけで 1 月から 5 月までの総検出量を大きく上回っており今後注視すべき事案とみています ESET 製品でのランサムウェア種別による国内検出状況 ESET 社 VIRUSRADAR より (1/1~6/30 までの検出量を集計 )

7 (2) Jaff ランサムウェアの急増についてランサムウェアの検出状況については Jaff ランサムウェアが多く検出されました( 以下グラフ参照 ) 6 月だけで 1 月から 5 月までの総検出量を大きく上回っており今後注視すべき事案とみています ESET 製品でのランサムウェア種別による国内検出状況 ESET 社 VIRUSRADAR より (1/1~6/30 までの検出量を集計 ) Jaff ランサムウェアは海外では 5 月中旬ごろからスペインなどで感染報告が上がっている新種のランサムウェアであり日本では 6 月 7 日以降に多く確認されましたこのランサムウェアは不正な PDF を添付したメール攻撃によって感染します Jaff ランサムウェアに感染するまでの一連の流れとしては最初にドロッパーと呼ばれる PDF ファイルを添付したメールを送り付けその PDF ファイルを開くと添付された Microsoft Word 形式ファイルが開かれるように作られていますこの Microsoft Word 形式ファイルにはマクロ機能の有効で実行するダウンローダが仕組まれておりこのマクロ機能を有効にすると Jaff ランサムウェアがダウンロードされ感染活動を行いますまた国外では 6 月 28 日にウクライナなどで Petya ランサムウェアの亜種と見られる大量感染の報告がありま 5

したこのランサムウェアはハードディスクそのものを暗号化するためファイルだけ影響を受けるものとは異なり被害は甚大なものとなりますこの詳細についてはワナクライに似た身代金要求マルウェアペトヤ (PETYA) が世界中で大量拡散にて取り上げています 2. 2017 年 6 月の国内マルウェア検出量上位 5 種 1 位 JS/Danger.

8 したこのランサムウェアはハードディスクそのものを暗号化するためファイルだけ影響を受けるものとは異なり被害は甚大なものとなりますこの詳細についてはワナクライに似た身代金要求マルウェアペトヤ (PETYA) が世界中で大量拡散にて取り上げています年 6 月の国内マルウェア検出量上位 5 種 1 位 JS/Danger.ScriptAttachment ( ダウンローダ ) 全体の 19% JS/Danger.ScriptAttachment は JavaScript 言語で作られたダウンローダでメールに添付されたファイルから検出していますこのマルウェアが発症するとランサムウェアや情報搾取型マルウェアをダウンロードし感染を狙います以下グラフから直近 3 カ月間の検出傾向で見ると 4 月は非常に少ない傾向が続いていましたが 5 月 14 日以降は約 2 週間の間隔で大量のばらまき型メール攻撃が観測されています 6 月だけで 30 万件以上検出する結果となりました日本での JS/Danger.ScriptAttachment の直近 3 カ月間の検出状況 (2017 年 7 月 4 日時点 ) ESET 社 VIRUSRADAR より集計点線は線形近似 6

Agent は主に Microsoft Office 製品のマクロ機能で使用される VBA (Visual Basic for Application) で作られたダウンローダでこのマルウェアが発症するとランサムウェアや情報搾取型マルウェアをダウンロードし感染を狙います 6

9 JS/Danger.ScriptAttachment の総検出量 ( 以下グラフ参照 ) は昨年から減少傾向でしたが現在は再び増加傾向となっており今後も警戒が必要です日本での JS/Danger.ScriptAttachment の直近 6 カ月間の検出状況 (2017 年 7 月 4 日時点 ) ESET 社 VIRUSRADAR より集計 2 位 VBA/TrojanDownloader.Agent ( ダウンローダ ) 全体の 15% VBA/TrojanDownloader.Agent は主に Microsoft Office 製品のマクロ機能で使用される VBA (Visual Basic for Application) で作られたダウンローダでこのマルウェアが発症するとランサムウェアや情報搾取型マルウェアをダウンロードし感染を狙います 6 月末に特に大きな攻撃キャンペーンが行われ検出数は 4 月と 5 月の総検出量を上回り 6 月だけの総検出量でも 25 万件を超える状況となりました日本での VBA/TrojanDownloader.Agent の直近 3 カ月間の検出状況 (2017 年 7 月 4 日時点 ) ESET 社 VIRUSRADAR より集計点線は線形近似 4 月と 5 月は月間総数のみ記載 7

この不正プログラムを組み込んだファイルの多くは請求書を装ったものであり添付メールで送り付けるケースが数多く確認されていますいずれもコンテンツの有効化をクリックするよう誘導する内容が書かれておりコンテンツの有効化をクリックするとダウンローダとして機能します

10 この不正プログラムを組み込んだファイルの多くは請求書を装ったものであり添付メールで送り付けるケースが数多く確認されていますいずれもコンテンツの有効化をクリックするよう誘導する内容が書かれておりコンテンツの有効化をクリックするとダウンローダとして機能します請求書を装い VBA/TrojanDownloader.Agent が組み込まれた様々な Excel シートの一例実際にこれらの偽装した請求書を添付しているメール本文は以下のようなものがあります最近では自然な日本語を使った文書も増えていて社内の部署を装ったケースも確認されています 8

11 偽装した請求書が添付されたメールの一例 ( 左 : 画面ショット右 : メール本文 ) 9

12 3 位 PDF/TrojanDropper.Agent ( ドロッパー ) 全体の 8% PDF/TrojanDropper.Agent は 5 月に大量に発生した他のマルウェアを展開するドロッパーで 6 月 6 日から 8 日にかけて Jaff ランサムウェア感染の手口として利用されていたことが確認されています 10

Adobe 社文書ファイルである PDF 形式ファイルの添付機能を利用したもので PDF ファイルを開くと新たなマルウェアを展開 ( ドロップ ) する役割を担います攻撃全体の流れの特徴として巧妙化複合化が進んでいますドロッパーとダウンローダのコンビネーションによってランサムウェア本体を送り込む仕組みになっています今まではダウンローダ +

13 日本での PDF/TrojanDownloader.Agent ファミリーの検出状況 (2017 年 7 月 4 日時点 ) ESET 社 VIRUSRADAR より集計メール経由でランサムウェアなどに感染させる手段としてドロッパーを用いるケースが増えていますドロッパーはマルウェア自身とは別の不正プログラムを持ちますこれが利用される理由は入口対策を突破するためです今回確認されているマルウェアは Adobe 社文書ファイルである PDF 形式ファイルの添付機能を利用したもので PDF ファイルを開くと新たなマルウェアを展開 ( ドロップ ) する役割を担います攻撃全体の流れの特徴として巧妙化複合化が進んでいますドロッパーとダウンローダのコンビネーションによってランサムウェア本体を送り込む仕組みになっています今まではダウンローダ + マルウェア本体もしくはドロッパー + マルウェア本体というコンビネーションだったものがダウンローダ + ドロッパー + マルウェア本体で一連の攻撃になっています攻撃側はメールで PDF 形式ファイル ( 以下 1 参照 ) を送りつけますこの PDF には Microsoft Word 形式 ( 以下 2 参照 ) などのファイルが組み込まれており PDF ファイルが開かれるのと同時に Microsoft Word 形式ファイルを展開しますそして Microsoft Word が持つマクロ機能もしくはその他のオブジェクトが呼び出されると今度はダウンローダとして活動し始めランサムウェア本体をダウンロードし活動 ( 以下 3 参照 ) を行います 11

4 位 Suspicious ( 不審ファイルの呼称 ) 全体の 7% Suspicious は ESET 製品によって検出された対象がまだマルウェア名のない場合その不審ファイルを指す名称になります毎日のように新しいマルウェアが発生している中ウイルス定義データベースによる検出だけではなくこうした未知のマルウェアと見られるものも 6 月は多く検出されました日本での Suspicious

14 4 位 Suspicious ( 不審ファイルの呼称 ) 全体の 7% Suspicious は ESET 製品によって検出された対象がまだマルウェア名のない場合その不審ファイルを指す名称になります毎日のように新しいマルウェアが発生している中ウイルス定義データベースによる検出だけではなくこうした未知のマルウェアと見られるものも 6 月は多く検出されました日本での Suspicious の検出状況 (2017 年 7 月 4 日時点 ) ESET 社 VIRUSRADAR より集計点線は線形近似 ESET 製品には未知のマルウェアを検出するために 20 年に渡る研究と製品への反映により多方面からのマルウェアを判断するための技術が内蔵されています 1エミュレーション技術と DNA( 遺伝子工学 ) を取り入れたふるまい検出技術 2サンドボックス技術を活用したアドバンスドメモリスキャナー機能さらにこれらの不審不正と見られるオブジェクトを機械学習させ 3クラウド連携による ESET LiveGrid 機能を用いた新種のマルウェアを検出する機能があります ESET LiveGrid は検体収集とレポートからスタートしたクラウドレピュテーションシステムですが現在はそれだけではなく URL やアプリケーションの安全性評価など多岐に渡るクラウドを活かした早期警戒システムとして成長を続けています 6 月の検出状況ではばらまき型メール攻撃の発生時期と重なっているのでメールに含まれていた添付ファイルの一部が Suspicious による判断で駆除したものとみています ( 注 : Suspicious で検出したものはその後ウイルス定義データベースの更新によってマルウェア名が付与された形で検出されるケースもあります ) 12

15 5 位 PowerShell/TrojanDownloader.Agent ( ダウンローダ ) 全体の 7% PowerShell/TrojanDownloader.Agent は PowerShell で作られたダウンローダでランサムウェアなどのマルウェアをダウンロードし感染させる役割を持ちますこのマルウェアは 6 月上旬と中旬に多く検出されました日本での PowerShell/TrojanDownloader.Agent の検出状況 (2017 年 7 月 4 日時点 ) ESET 社 VIRUSRADAR より集計 6 月に確認されている攻撃ではメールを使って Microsoft Word 形式ファイルを送り付けこの Word に組み込まれたマクロが実行されるとさらに Windows のコマンドプロンプトを呼び出しそこから PowerShell を利用してマルウェアのダウンロードと実行が行われていました PowerShell の呼び出しは 1 行でマルウェアのダウンロードと実行が行われるよう記述されていました 13

16 一般的に業務ソフトなどのアップデートでコードとして書かれるケースと大差はなくその違いは接続先アドレスとダウンロードされたファイルの実行が悪意のあるものかないものかの違いにすぎませんこのようなケースにおいてコマンドプロンプトから先の処理はファイルから実行されているものではなくメモリから展開されているつくりもあるため PCの再起動後にはこれらの実行形跡も消える特徴がありますこうした方法で原因特定を遅らせることができることから専門家の中では手法に対しファイルレスマルウェアとも呼ばれます PowerShell を利用した攻撃手法としては今年の前半にも LNK( ショートカット ) 形式ファイルに埋め込んだ実行パスに PowerShell をコールするように設計されたものもありました上位入ったマルウェアですがマルウェアが添付されたばらまき型メール攻撃が多くを占めておりそのメール攻撃量も大変多い状況が続いていますいずれのメールも添付されているファイルは新種もしくは亜種のマルウェアです実際に添付されているファイル形式としては ZIP 圧縮形式 ( 実行形式や文書形式ファイルが圧縮されている ) 文書形式(PDF DOC XLS) など様々です日頃からよく利用されるファイル形式でもありますので取り扱いに十分注意してください今回紹介したマルウェア検出統計に関するリアルタイムな情報は ESET VIRUSRADAR サイト( 英語 ) にてご参照いただけます最近確認されているメールでもオリジナルのメール文書を模倣して作られているケースも出てきていますので個人で見抜くことも難しくなってきています弊社マルウェア情報局からの注意喚起や警察庁などからの情報も常に確認しこうした被害に遭わないよう心がけましょう今後も特に情報搾取を狙った日本語メールによる攻撃やスピアフィッシングは継続的に行われます自身の情報の取り扱いに注意してくださいまた感染に気付くのが遅れるケースもありますそのような場合に備えログインに必要なパスワードなどは定期的に変更するなど心がけリスクを最小限にできるよう対応してください 14

17 常日頃からリスク軽減するための対策について各記事でご案内しているようなリスク軽減の対策をご案内いたします下記の対策を実施してください 1. ESET 製品プログラムのウイルス定義データベースを最新にアップデートする ESET 製品では次々と発生する新たなマルウェアなどに対して逐次対応しております最新の脅威に対応できるようウイルス定義データベースを最新にアップデートしてください 2. OS のアップデートを行いセキュリティパッチを適用するウイルスの多くは OS に含まれる脆弱性を利用してコンピューターに感染します Windows Update などの OS のアップデートを行い脆弱性を解消してください 3. ソフトウェアのアップデートを行いセキュリティパッチを適用するウイルスの多くが狙う脆弱性は Java Adobe Flash Player Adobe Reader などのアプリケーションにも含まれています各種アプリのアップデートを行い脆弱性を解消してください 4. データのバックアップを行っておく万が一ウイルスに感染した場合コンピューターの初期化 ( リカバリー ) などが必要になることがあります念のためデータのバックアップを行っておいてください 5. 脅威が存在することを知る知らない人よりも知っている人の方がウイルスに感染するリスクは低いと考えられますウイルスという脅威に触れてしまう前に疑うことができるからです弊社を始め各企業団体からセキュリティに関する情報が発信されていますこのような情報に目を向けあらかじめ脅威を知っておくことも重要です ESET は ESET, spol. s r.o. の商標です Microsoft Windows は米国 Microsoft Corporation の米国日本およびその他の国における登録商標または商標です 15

マルウェアレポート 2017年12月度版

マルウェアレポート 2017年12月度版バンキングマルウェアの感染を狙った攻撃が日本に集中ショートレポート 1. 12 月の概況について 2. バンキングマルウェアの感染を狙った攻撃が日本に集中 3. ランサムウェアのダウンローダーを数多く確認 1. 12 月の概況について 2017 年 12 月 1 日から 12 月 31 日までの間 ESET 製品が国内で検出したマルウェアの比率は以下のとおりです国内マルウェア検出数の比率