VBA PowerShell 利用のマルウェアが急増 Jaff ランサムウェアの検出が増加
ショートレポート 2017 年 6 月マルウェア検出状況 : VBA PowerShell 利用のマルウェアが急増 Jaff ランサムウェアの検出が増加 1. 6 月の概況について 弊社マルウェアラボでは 2017 年 6 月 1 日から 30 日までの ESET 製品国内利用の検出状況について集計しました 全体的には ばらまき型メール攻撃 が多く確認されている中 ( 以下グラフの赤字で書かれたもの ) で プログラム言語 (PowerShell) を使ったマルウェアや ランサムウェア Jaff が多く検出される状況となりました 危険なマルウェア本体を送り込ませるために より巧妙化 複合化されている状況が確認できました 国内 6 月のマルウェア検出状況上位 10 種のマルウェア名と割合 ( 上段 : 円グラフ下段 : 表 ) ESET 社 VIRUSRADAR よりマルウェア検出上位 10 種のマルウェアをファミリー別に再集計したもの 1
順位マルウェア名割合 1 JS/Danger.criptAttachment( ダウンローダ ) 19% 2 VBA/TrojanDownloader.Agent( ダウンローダ ) 15% 3 PDF/TrojanDropper.Agent( ドロッパー ) 8% 4 Suspicious( 未知の不審ファイル呼称 ) 7% 5 PowerShell/TrojanDownloader.Agent( ダウンローダ ) 7% 6 HTML/FakeAlert( 偽画面表示 ) 2% 7 JS/Adware.Serhoxs( アドウェア ) 2% 8 Win32/Filecoder.Jaff( ランサムウェア ) 2% 9 Win32/RealNetworks( 望ましくないアプリケーション ) 2% 10 Win32/Filecoder..Locky( ランサムウェア ) 2% 2
(1) VBA PowerShell 利用のマルウェア急増について 情報搾取やランサムウェア感染を狙う ダウンローダ と呼ばれるマルウェアの開発コードに使われているプログラム言語として JavaScript と Microsoft Office 製品のマクロ機能を悪用した VBA(Visual Basic for Application) が 昨年以降多用されていますが ( 詳細は 2 月の マルウェアレポート を参照 リンク差し込み ) 6 月は新たに PowerShell を利用したマルウェアが急増し 10 万件以上確認されました ( 以下グラフ参照 ) その増加量は 5 月と比べ約 12 倍に及んでいます ESET 製品による PowerShell 利用のマルウェア全種類の国内検出状況 ESET 社 VIRUSRADAR より 日本国内に絞った検出量を表したもの PowerShell は Microsoft が開発した拡張性のあるコマンドラインとスクリプト言語を持っており Windows の標準ツールとして古くからあるコマンドラインプロンプトを大きく進化させたものといえます 現在では Windows システム管理者にとっては重宝するツールへと変わってきており ちょっとした自動化処理に PowerShell を活用される方もいます しかしながら 攻撃者によってこの PowerShell も悪用されるケースがここにきて急増しています 今後は ダウンローダ に限らず PowerShell を利用した様々なタイプのマルウェアが作られ 攻撃者に利用されるものとみています ( 後ほどマルウェア検出量上位 5 種にて解説 ) また VBA を悪用した ダウンローダ の検出が今年最も多く検出されました ( 以下グラフ参照 ) VBA を悪用したデータの多くは Microsoft Word 形式と Excel 形式で 5 月と比較して約 17 倍に増加しています 3
ESET 製品による VBA 利用のマルウェア全種類の国内検出状況 ESET 社 VIRUSRADAR より 日本国内に絞った検出量を表したもの 4
(2) Jaff ランサムウェアの急増について ランサムウェアの検出状況については Jaff ランサムウェアが多く検出されました( 以下グラフ参照 ) 6 月だけで 1 月から 5 月までの総検出量を大きく上回っており 今後注視すべき事案とみています ESET 製品でのランサムウェア種別による国内検出状況 ESET 社 VIRUSRADAR より (1/1~6/30 までの検出量を集計 ) Jaff ランサムウェアは 海外では 5 月中旬ごろからスペインなどで感染報告が上がっている新種のランサムウェアであり 日本では 6 月 7 日以降に多く確認されました このランサムウェアは不正な PDF を添付したメール攻撃によって感染します Jaff ランサムウェアに感染するまでの一連の流れとしては 最初に ドロッパー と呼ばれる PDF ファイルを添付したメールを送り付け その PDF ファイルを開くと添付された Microsoft Word 形式ファイルが開かれるように作られています この Microsoft Word 形式ファイルには マクロ機能の有効で実行する ダウンローダ が仕組まれており このマクロ機能を有効にすると Jaff ランサムウェアがダウンロードされ感染活動を行います また国外では 6 月 28 日にウクライナなどで Petya ランサムウェアの亜種と見られる大量感染の報告がありま 5
した このランサムウェアは ハードディスクそのものを暗号化するため ファイルだけ影響を受けるものとは異なり 被害は甚大なものとなります この詳細については ワナクライ に似た身代金要求マルウェア ペトヤ (PETYA) が世界中で大量拡散 にて取り上げています 2. 2017 年 6 月の国内マルウェア検出量上位 5 種 1 位 JS/Danger.ScriptAttachment ( ダウンローダ ) 全体の 19% JS/Danger.ScriptAttachment は JavaScript 言語で作られた ダウンローダ で メールに添付されたファイルから検出しています このマルウェアが発症すると ランサムウェアや情報搾取型マルウェアをダウンロードし感染を狙います 以下グラフから 直近 3 カ月間の検出傾向で見ると 4 月は非常に少ない傾向が続いていましたが 5 月 14 日以降は約 2 週間の間隔で大量のばらまき型メール攻撃が観測されています 6 月だけで 30 万件以上検出する結果となりました 日本での JS/Danger.ScriptAttachment の直近 3 カ月間の検出状況 (2017 年 7 月 4 日時点 ) ESET 社 VIRUSRADAR より集計 点線は線形近似 6
JS/Danger.ScriptAttachment の総検出量 ( 以下グラフ参照 ) は 昨年から減少傾向でしたが 現在 は再び増加傾向となっており 今後も警戒が必要です 日本での JS/Danger.ScriptAttachment の直近 6 カ月間の検出状況 (2017 年 7 月 4 日時点 ) ESET 社 VIRUSRADAR より集計 2 位 VBA/TrojanDownloader.Agent ( ダウンローダ ) 全体の 15% VBA/TrojanDownloader.Agent は 主に Microsoft Office 製品のマクロ機能で使用される VBA (Visual Basic for Application) で作られた ダウンローダ で このマルウェアが発症すると ランサムウェアや情報搾取型マルウェアをダウンロードし感染を狙います 6 月末に特に大きな攻撃キャンペーンが行われ 検出数は 4 月と 5 月の総検出量を上回り 6 月だけの総検出量でも 25 万件を超える状況となりました 日本での VBA/TrojanDownloader.Agent の直近 3 カ月間の検出状況 (2017 年 7 月 4 日時点 ) ESET 社 VIRUSRADAR より集計 点線は線形近似 4 月と 5 月は月間総数のみ記載 7
この不正プログラムを組み込んだファイルの多くは請求書を装ったものであり 添付メールで送り付けるケースが数 多く確認されています いずれも コンテンツの有効化 をクリックするよう誘導する内容が書かれており コンテン ツの有効化 をクリックすると ダウンローダ として機能します 請求書を装い VBA/TrojanDownloader.Agent が組み込まれた様々な Excel シートの一例 実際にこれらの偽装した請求書を添付しているメール本文は以下のようなものがあります 最近では自然な日本語を使った文書も増えていて 社内の部署を装ったケースも確認されています 8
偽装した請求書が添付されたメールの一例 ( 左 : 画面ショット右 : メール本文 ) 9
3 位 PDF/TrojanDropper.Agent ( ドロッパー ) 全体の 8% PDF/TrojanDropper.Agent は 5 月に大量に発生した他のマルウェアを展開する ドロッパー で 6 月 6 日から 8 日にかけて Jaff ランサムウェア感染の手口として利用されていたことが確認されています 10
日本での PDF/TrojanDownloader.Agent ファミリーの検出状況 (2017 年 7 月 4 日時点 ) ESET 社 VIRUSRADAR より集計 メール経由で ランサムウェアなどに感染させる手段として ドロッパー を用いるケースが増えています ドロッパー は マルウェア自身とは別の不正プログラムを持ちます これが利用される理由は 入口対策を突破するためです 今回確認されているマルウェアは Adobe 社文書ファイルである PDF 形式ファイルの添付機能を利用したもので PDF ファイルを開くと新たなマルウェアを展開 ( ドロップ ) する役割を担います 攻撃全体の流れの特徴として 巧妙化 複合化が進んでいます ドロッパー と ダウンローダ のコンビネーションによって ランサムウェア本体を送り込む仕組みになっています 今までは ダウンローダ + マルウェア本体 もしくは ドロッパー + マルウェア本体 というコンビネーションだったものが ダウンローダ + ドロッパー + マルウェア本体 で一連の攻撃になっています 攻撃側はメールで PDF 形式ファイル ( 以下 1 参照 ) を送りつけます この PDF には Microsoft Word 形式 ( 以下 2 参照 ) などのファイルが組み込まれており PDF ファイルが開かれるのと同時に Microsoft Word 形式ファイルを展開します そして Microsoft Word が持つマクロ機能もしくはその他のオブジェクトが呼び出されると 今度は ダウンローダ として活動し始め ランサムウェア本体をダウンロードし活動 ( 以下 3 参照 ) を行います 11
4 位 Suspicious ( 不審ファイルの呼称 ) 全体の 7% Suspicious は ESET 製品によって検出された対象が まだマルウェア名のない場合 その不審ファイルを指す名称になります 毎日のように新しいマルウェアが発生している中 ウイルス定義データベースによる検出だけではなく こうした未知のマルウェアと見られるものも 6 月は多く検出されました 日本での Suspicious の検出状況 (2017 年 7 月 4 日時点 ) ESET 社 VIRUSRADAR より集計 点線は線形近似 ESET 製品には 未知のマルウェアを検出するために 20 年に渡る研究と製品への反映により 多方面からのマルウェアを判断するための技術が内蔵されています 1エミュレーション技術と DNA( 遺伝子工学 ) を取り入れたふるまい検出技術 2サンドボックス技術を活用したアドバンスドメモリスキャナー機能 さらにこれらの不審 不正と見られるオブジェクトを機械学習させ 3クラウド連携による ESET LiveGrid 機能を用いた新種のマルウェアを検出する機能があります ESET LiveGrid は 検体収集とレポートからスタートしたクラウドレピュテーションシステムですが 現在はそれだけではなく URL やアプリケーションの安全性評価など多岐に渡るクラウドを活かした早期警戒システムとして成長を続けています 6 月の検出状況では ばらまき型メール攻撃の発生時期と重なっているので メールに含まれていた添付ファイルの一部が Suspicious による判断で駆除したものとみています ( 注 : Suspicious で検出したものは その後ウイルス定義データベースの更新によってマルウェア名が付与された形で検出されるケースもあります ) 12
5 位 PowerShell/TrojanDownloader.Agent ( ダウンローダ ) 全体の 7% PowerShell/TrojanDownloader.Agent は PowerShell で作られた ダウンローダ で ランサムウェアなどのマルウェアをダウンロードし感染させる役割を持ちます このマルウェアは 6 月上旬と中旬に多く検出されました 日本での PowerShell/TrojanDownloader.Agent の検出状況 (2017 年 7 月 4 日時点 ) ESET 社 VIRUSRADAR より集計 6 月に確認されている攻撃では メールを使って Microsoft Word 形式ファイルを送り付け この Word に組み込まれたマクロが実行されると さらに Windows のコマンドプロンプトを呼び出し そこから PowerShell を利用してマルウェアのダウンロードと実行が行われていました PowerShell の呼び出しは 1 行でマルウェアのダウンロードと実行が行われるよう記述されていました 13
一般的に 業務ソフトなどのアップデートでコードとして書かれるケースと大差はなく その違いは接続先アドレスとダウンロードされたファイルの実行が悪意のあるものかないものかの違いにすぎません このようなケースにおいて コマンドプロンプトから先の処理は ファイルから実行されているものではなくメモリから展開されているつくりもあるため PCの再起動後にはこれらの実行形跡も消える特徴があります こうした方法で原因特定を遅らせることができることから 専門家の中では手法に対し ファイルレスマルウェア とも呼ばれます PowerShell を利用した攻撃手法としては 今年の前半にも LNK( ショートカット ) 形式ファイルに埋め込んだ実行パスに PowerShell をコールするように設計されたものもありました 上位入ったマルウェアですが マルウェアが添付された ばらまき型メール攻撃 が多くを占めており そのメール攻撃量も大変多い状況が続いています いずれのメールも添付されているファイルは新種もしくは亜種のマルウェアです 実際に添付されているファイル形式としては ZIP 圧縮形式 ( 実行形式や文書形式ファイルが圧縮されている ) 文書形式(PDF DOC XLS) など様々です 日頃からよく利用されるファイル形式でもありますので 取り扱いに十分注意してください 今回紹介したマルウェア検出統計に関するリアルタイムな情報は ESET VIRUSRADAR サイト( 英語 ) にて ご参照いただけます 最近確認されているメールでも オリジナルのメール文書を模倣して作られているケースも出てきていますので 個人で見抜くことも難しくなってきています 弊社マルウェア情報局からの注意喚起や警察庁などからの情報も常に確認し こうした被害に遭わないよう心がけましょう 今後も特に情報搾取を狙った日本語メールによる攻撃やスピアフィッシングは継続的に行われます 自身の情報の取り扱いに注意してください また 感染に気付くのが遅れるケースもあります そのような場合に備え ログインに必要なパスワードなどは定期的に変更するなど心がけ リスクを最小限にできるよう対応してください 14
常日頃からリスク軽減するための対策について 各記事でご案内しているようなリスク軽減の対策をご案内いたします 下記の対策を実施してください 1. ESET 製品プログラムのウイルス定義データベースを最新にアップデートする ESET 製品では 次々と発生する新たなマルウェアなどに対して逐次対応しております 最新の脅威に対応できるよう ウイルス定義データベースを最新にアップデートしてください 2. OS のアップデートを行い セキュリティパッチを適用するウイルスの多くは OS に含まれる 脆弱性 を利用してコンピューターに感染します Windows Update などの OS のアップデートを行い 脆弱性を解消してください 3. ソフトウェアのアップデートを行い セキュリティパッチを適用するウイルスの多くが狙う 脆弱性 は Java Adobe Flash Player Adobe Reader などのアプリケーションにも含まれています 各種アプリのアップデートを行い 脆弱性を解消してください 4. データのバックアップを行っておく万が一ウイルスに感染した場合 コンピューターの初期化 ( リカバリー ) などが必要になることがあります 念のため データのバックアップを行っておいてください 5. 脅威が存在することを知る 知らない人 よりも 知っている人 の方がウイルスに感染するリスクは低いと考えられます ウイルスという脅威に触れてしまう前に 疑う ことができるからです 弊社を始め 各企業 団体からセキュリティに関する情報が発信されています このような情報に目を向け あらかじめ脅威を知っておく ことも重要です ESET は ESET, spol. s r.o. の商標です Microsoft Windows は 米国 Microsoft Corporation の米国 日本およびその他の国における登録商標または商標です 15