トレンドマイクロは、2016年第3四半期セキュリティラウンドアップを発表した。これは、2016年7月から10月までの日本国内および海外のセキュリティ動向を分析したものである。このなかから、いくつかの事例を紹介したい。

メール経由でのマルウェア拡散が急増

まずは、国内の脅威動向である。トレンドマイクロでは、スパムメールに同一のマルウェアが添付されたマルウェアスパムが、1回の攻撃で400件以上の検出があった場合、アウトブレイクと呼んでいる。図2は、Trend Micro Smart Protection Network(SPN)の監視下で、アウトブレイクの発生数を表したものである。

図2 2016年に国内で確認された主なマルウェアスパムアウトブレイクの発生数推移

第3四半期になり、34件ものアウトブレイクが確認された。さらに、検出台数の推移は、図3である。

図3 2016 年に国内で確認された主なマルウェアスパムアウトブレイクによる検出台数推移

検出台数で見ると、72000件近くになり、前四半期の約5倍となっている。トレンドマイクロによれば、受け取ったマルウェアスパムの添付ファイルを2000人以上が開いてしまったアウトブレイクが、2週間に5回以上発生している計算となる。

そして、特徴的な傾向がある。スパムメールの本文が英語の場合はランサムウェア、日本語の場合はネットバンキングを狙うオンライン銀行詐欺ツールが、最終的な感染マルウェアとなる。これは、ランサムウェア感染を目的とした攻撃は世界規模で行われており、その一部(実際には、半数近く)が日本に到達していると思われる。

第3四半期のマルウェアスパムアウトブレイクの発生数では、34件のうちオンライン銀行詐欺ツールは13件と38%となっている。しかし、検出台数はいずれも36000件程度で、ほぼ拮抗している。アウトブレイクが1回発生すると、ランサムウェアに感染した台数は約1700件となる。オンライン銀行詐欺ツールの場合は2800件と、ランサムウェアの1.6倍となっている。これは、本文が日本語のスパムメール(図4)のほうが、添付ファイルを開きやすいという傾向がうかがえる。逆にいえば、本文が英語のメールの場合(図5)、注意力が働きやすいともいえる。

図4 8月に確認された日本語マルウェアスパムメール(最終的にオンライン銀行詐欺ツール「BEBLOH」に感染)

図5 7月に確認された英語マルウェアスパムメール(最終的にランサムウェア「LOCKY」に感染)