2021年 11月マルウェア検出状況

2021年11月(11月1日~11月30日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。

  • 国内マルウェア検出数の推移(2021年6月の全検出数を100%として比較)

    国内マルウェア検出数*1の推移
    (2021年6月の全検出数を100%として比較)
    *1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。

2021年11月の国内マルウェア検出数は、2021年10月と比較して微減しました。検出されたマルウェアの内訳は以下のとおりです。

国内マルウェア検出数*2上位(2021年11月)

順位
マルウェア名
割合
種別
1
 JS/Adware.Agent 22.1% アドウェア
2
 HTML/Phishing.Agent 12.5% メールに添付された不正なHTMLファイル
3
 JS/Adware.Sculinst 8.3% アドウェア
4
 JS/Adware.TerraClicks 4.2% アドウェア
5
 JS/Adware.Subprop 3.5% アドウェア
6
 HTML/FakeAlert 2.4% 偽の警告文を表示させるHTMLファイル
7
 JS/Adware.PopAds 1.5% アドウェア
8
 HTML/ScrInject 1.3% HTMLに埋め込まれた不正スクリプト
9
 Win32/Exploit.CVE-2017-11882 1.1% 脆弱性を悪用するマルウェア
10
 JS/Redirector 0.9% 別のページに遷移させるスクリプト

*2 本表にはPUAを含めていません。

11月に国内で最も多く検出されたマルウェアは、JS/Adware.Agentでした。JS/Adware.Agentは、悪意のある広告を表示させるアドウェアの汎用検出名です。Webサイト閲覧時に実行されます。

11月は、欧州刑事警察機構(Europol)によってテイクダウンが報告1)されたマルウェア「Emotet」について、およそ10ヶ月ぶりに活動再開が確認2)されました。ESET製品では活動再開したEmotetおよびそのダウンローダーを、「Win32/Emotet」、「DOC/TrojanDownloader.Agent」などの検出名で検出します。これらの検出数は11月半ば頃から増加しており、Emotet再開の影響を窺うことができます。

活動再開後のEmotetおよびそのダウンローダーに対する、ESET製品による検出名の例

検出対象
ESET検出名
Emotet
 <Emotet>
・Win32/Emotet
<汎用検出名>
・Win32/GenKryptik
・Win32/Kryptik
・Win64/Kryptik
Emotetダウンローダー
 <ダウンローダー>
・DOC/TrojanDownloader.Agent
・VBA/TrojanDownloader.Agent
・VBA/TrojanDropper.Agent
<汎用検出名>
・GenScript
・Generik
  • 11月に活動再開したEmotetおよびそのダウンローダーに関連する検出数の推移(検出数が最も多い11月26日を100%として表示)

    11月に活動再開したEmotetおよびそのダウンローダーに関連する検出数の推移
    (検出数が最も多い11月26日を100%として表示)

Emotetの感染経路としては、以下の4つのパターンが確認3)4)されています。

  1. 電子メールに添付されたダウンローダー(不正なVBAマクロを含むMicrosoft Officeファイル)を実行することによって感染
  2. 電子メールに記載されたURLリンク(Adobe PDFファイルのダウンロードを促すWebサイト)にアクセスし、そのWebサイト上からEmotetをダウンロードしてしまうことで感染
  3. 既にEmotetに感染した別の端末から横展開されて感染
  4. マルウェア「Trickbot」によってダウンロードされることで感染

このうち活動再開後から出回っているダウンローダーについて、サイバーセキュリティラボではWordファイルやExcelファイル、これらを内包したパスワード付きZIP圧縮ファイルという3つの形式を確認しています。

  • これまでに確認されているEmotetの感染経路

    これまでに確認されているEmotetの感染経路

  • 11月から出回っているEmotetダウンローダーの例1
  • 11月から出回っているEmotetダウンローダーの例2

    11月から出回っているEmotetダウンローダーの例

ダウンローダーの実行からEmotet感染までの挙動については、テイクダウン前の検体と比較して大きな変化はありません。まずダウンローダーであるMicrosoft Officeファイルの「コンテンツの有効化」を行うと、不正なVBAマクロが実行されます。続いてPowerShellにコマンドが渡され、複数の通信先に対して順に接続を行います。通信が成功するとDLLファイル形式のEmotetがダウンロードされます。最後にrundll32.exeを使用してEmotetが実行されます。

今回確認した挙動では、ダウンローダーが実行されるとEmotetをダウンロードし、「%ProgramData%¥」配下に配置します。ダウンロードされたEmotetはrundll32.exeを使用して自身を4回起動*3し、最終的にC&Cサーバーに対して通信を行います。

rundll32.exeに関して、1回目はランダムな文字列、2回目はEmotet本体のエクスポート関数として定義されている「Control_RunDLL」という文字列を引数*3にしてEmotetを実行します。2回目の実行によって、Emotetは「%ProgramData%¥」配下から「%ProgramData%¥(ランダムな文字列)¥」配下にファイルロケーションが変わります。そして2回目は1回目と同様にランダムな文字列、4回目は2回目と同様に「Control_RunDLL」という文字列を引数*3にしてEmotetを実行します。

テイクダウン前のEmotetは、C&Cサーバーへの通信時にHTTPプロトコルを使用していました。しかし活動再開後のEmotetでは、HTTPSプロトコルが使用されていることを確認しています。

*3 Emotetの起動回数やrundll32.exeの引数は、実行環境によって異なる可能性があります。

  • 不正なマクロが実行されてからC&Cサーバーに通信するまでの挙動

    不正なマクロが実行されてからC&Cサーバーに通信するまでの挙動

  • C&Cサーバーに対してHTTPSプロトコルで通信を試みている様子

    C&Cサーバーに対してHTTPSプロトコルで通信を試みている様子

テイクダウン前のEmotetはEpoch1、Epoch2、Epoch3と呼ばれる3つのボットネットを形成することで猛威を奮っていましたが、Europolを含む世界各国の機関によってこれらのボットネットが無害化されたため、Emotetによる脅威は収束したと考えられていました。しかし、Trickbot経由でEmotetに感染する動きが11月に報告5)されたことで、活動再開が認知されるようになりました。同時にEpoch4やEpoch5と呼ばれる新たなボットネットが形成され、Emotetに感染した端末からマルスパムが配信されるようになったと推測されます。今後はEmotet感染端末が増加し、大規模な攻撃キャンペーンが展開される可能性も考えられるため注意が必要です。

ご紹介したとおり、Emotetの活動再開が確認されましたが、感染対策としては2021年1月のテイクダウン前のEmotetと同様です。不審な電子メールを受信した場合、添付ファイルを開かないことやURLリンクにアクセスしないことが重要です。またダウンローダーであるMicrosoft Officeファイルを開いてしまった場合でも、コンテンツを有効化しないよう注意してください。

常日頃からリスク軽減するための対策について


各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。

1. セキュリティ製品の適切な利用

1-1. ESET製品の検出エンジン(ウイルス定義データベース)をアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しています。最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新の状態にアップデートしてください。

1-2. 複数の層で守る
1つの対策に頼りすぎることなく、エンドポイントやゲートウェイなど複数の層で守ることが重要です。

2. 脆弱性への対応

2-1. セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。「Windows Update」などのOSのアップデートを行ってください。また、マルウェアの多くが狙う「脆弱性」は、Office製品、Adobe Readerなどのアプリケーションにも含まれています。各種アプリケーションのアップデートを行ってください。

2-2. 脆弱性診断を活用する
より強固なセキュリティを実現するためにも、脆弱性診断製品やサービスを活用していきましょう。

3. セキュリティ教育と体制構築

3-1. 脅威が存在することを知る
「セキュリティ上の最大のリスクは“人”だ」とも言われています。知らないことに対して備えることができる人は多くありませんが、知っていることには多くの人が「危険だ」と気づくことができます。

3-2. インシデント発生時の対応を明確化する
インシデント発生時の対応を明確化しておくことも、有効な対策です。何から対処すればいいのか、何を優先して守るのか、インシデント発生時の対応を明確にすることで、万が一の事態が発生した時にも、慌てずに対処することができます。

4. 情報収集と情報共有

4-1. 情報収集
最新の脅威に対抗するためには、日々の情報収集が欠かせません。弊社を始め、各企業・団体から発信されるセキュリティに関する情報に目を向けましょう。

4-2. 情報共有
同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとのISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。

引用・出典元


1)Worldʼs most dangerous malware EMOTET disrupted through global action | Europol
https://www.europol.europa.eu/media-press/newsroom/news/world%e2%80%99s-most-dangerous-malware-emotet-disrupted-through-global-action

2)「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて | IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/announce/20191202.html

3) 【注意喚起】マルウェアEmotetが10カ月ぶりに活動再開、日本も攻撃対象に | セキュリティ対策のラック
https://www.lac.co.jp/lacwatch/alert/20211119_002801.html

4) Emotet now spreads via fake Adobe Windows App Installer packages | BleepingComputer
https://www.bleepingcomputer.com/news/security/emotet-now-spreads-via-fake-adobe-windows-app-installer-packages/

5) a Trickbot Rebirths Emotet: 140,000 Victims in 149 Countries in 10 Months | Check Point Software
https://blog.checkpoint.com/2021/12/08/trickbot-rebirths-emotet-140000-victims-in-149-countries-in-10-months/

※ESETは、ESET, spol. s r.o.の登録商標です。Windowsは、米国Microsoft Corporationの、米国、日本およびその他の国における登録商標または商標です。
※本記事はキヤノンマーケティングジャパンのオウンドメディア「サイバーセキュリティ情報局」から提供を受けております。著作権は同社に帰属します。

セキュリティ最前線


サイバー攻撃の最新動向とセキュリティ対策についてまとめたカテゴリです。

[PR]提供:キヤノンマーケティングジャパン