キヤノンITソリューションズ マルウェアラボ シニアセキュリティリサーチャー 石川堤一氏

キヤノンITソリューションズはこのほど、記者説明会を開催し、2017年上期(1-6月)のマルウェアの動向について解説した。説明を行ったのは、キヤノンITソリューションズ マルウェアラボ シニアセキュリティリサーチャーの石川堤一氏だ。

石川氏は、2017年上期の国内におけるマルウェアの検出状況の特徴として、新たな情報搾取型マルウェア「Ursnif」の登場、「WannaCryptor」などのランサムウェアの発生を挙げた。また、国内の検出状況を月別に見ると、2017年上期は3月から6月にかけて平均39%ずつ上昇したという。

2017年上期に国内で検出されたマルウェアの上位10種については、メール経由によるダウンローダによる侵入が多かった。さらに、上位10種のうち、3種は4月から6月にかけて攻撃が見られており、いずれも「ばらまき型」メール攻撃から検出されたという。

石川氏は国内で検出されたマルウェアの上位10種と過去の攻撃との違いについて、「感染目的は同じだが、実行させるプログラミング言語とファイル形式に違いが見られる」と指摘した。

2017年上半期 国内検出マルウェア上位10種

国内検出マルウェア上位10種の傾向

メール攻撃に使われるプログラミング言語で最も多いのはJavaScriptで、世界中で利用されているという。ただし、2017年上期は、Visual BasicとPowerShellの増加が見られた。

具体的には、Visual Basicを悪用してMicrosoft ExcelやWordに不正なマクロを仕込んだウイルスが6月以降に増加しており、また、PowerShellを利用した悪質なスクリプトが5月後半から急増している。

ファイル形式については、入り口対策の回避手段として、PDFの悪用が増加している。PDFを悪用したマルウェアが添付されたメールが送りつけられ、添付ファイルを開くと、マルウェアがダウンロードされ発症する。

PDFファイルを悪用したマルウェア感染の特徴

情報搾取型マルウェア「Ursnif」の特徴とは?

さて、2017年上期に登場した新種の情報搾取型マルウェア「Ursnif」とはどのようなものか。

その特徴として、「日本語によるメール攻撃」「ファイルの偽装」「ユーザーが入力した内容の収集と外部への送信」を挙げることができる。石川氏によると、2016年に流行したバンキングトロージャン「Bebloh」とウイルス設計が異なるだけで、手口と目的は同じだという。

情報搾取型マルウェア「Ursnif」の特徴

「Ursnif」の手口はこうだ。自然な日本語による本文と使われがちな書名からなるメールに、悪意のある文書を添付。そのファイルを開くと、バンキングマルウェアがダウンロードされ、情報を流出させる。

企業がメールの添付ファイルを介した攻撃への対策として、プログラムとして直接実行可能な拡張子を持ったファイルの受信制限を始めたことから、業務に欠かせないデータ形式ファイル(doc、xls、pdf)を偽装している。Word文書やExcelファイルは業務に必要なファイルであるため、企業も制限がかけられず、攻撃者はそこに付け込んでいるというわけだ。

2017年6月に確認された偽の請求書

ランサムウェア「ワナクリプター(WannaCryptor)」は収束したが……

2017年上期に最も話題になったランサムウェアと言えば、5月に世界中で猛威を振るった「ワナクリプター」(WannaCry、Wcryptなどとも呼ばれる)だろう。

ワナクリプターは、SMB(サーバメッセージブロック)の脆弱性を悪用した攻撃ツール(エクスプロイト)「Eternalblue」とバックドアツール「DoublePulsar」によって攻撃を実施。侵入に成功したあと、自身のコピーを展開し、発症すると、PCのデータを暗号化して、その復号を条件に身代金を要求する。

ESET LiveGridデータベースによると、5月12日に「ワナクリプター」を最も検出した国はロシアで、日本の検出率は0.2%だったという。

国内では、ワナクリプターは拡散と活動を停止させるキルスイッチが発見されたことで収束したが、その後、6月後半より、「Eternalblue」と「DoublePulsar」による攻撃の検知が増加していることがわかった。

なお、SMBの脆弱性「CVE-2017-0147」を修正するパッチは、ワナクリプターによる攻撃が明らかになってすぐに、マイクロソフトから提供されたが、石川氏は「ワナクリプターの検出状況を見る限り、パッチが当てられていない環境がまだあると言える」と指摘した。

ワナクリプター発生から6月末まえの国内検出状況

石川氏は、マルウェア以外の2017年上期の特徴として、偽サイトによるフィッシングの増加を紹介した。

偽の警告画面をHTMLで表示させる「HTML/FakeAlert」が今年3月より、増加傾向にあり、日本語のページも確認されているという。まとめサイトなどに差し込まれる広告経由でリダイレクトされるケースも確認されている。

偽の警告画面の例

以下に、石川氏が紹介した情報搾取型マルウェア、ランサムウェア、偽サイトによるフィッシングの対策を紹介しておこう。2017年上期の特徴とはいえ、今後確実に収束する保証はない。まずは、以下の対策ができているかどうかを確認してみてはいかがだろう。

ワナクリプター発生から6月末まえの国内検出状況