2018年2月のマルウェア検出レポートを公開
PR TIMES / 2018年3月27日 13時1分
~Webブラウザー上の脅威を多く観測~
キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社(本社:東京都品川区、代表取締役社長:足立 正親、以下キヤノンITS)は、2018年2月のマルウェア検出状況に関するレポートを公開しました。
[画像1: https://prtimes.jp/i/1375/389/resize/d1375-389-861508-0.jpg ]
■2018年2月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データを基に、2018年2月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。
2018年2月のマルウェア検出状況に関するレポート
【 https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1802.html 】
■Webブラウザー上の脅威を多く観測
2018年2月1日から2月28日までの間、ESET製品が国内で検出したマルウェアの種類別の割合は、以下のとおりです。
[画像2: https://prtimes.jp/i/1375/389/resize/d1375-389-569113-1.jpg ]
国内マルウェア検出数の種類別割合(2018年2月)
2月の国内マルウェア検出数1位は、1月に引き続きJavaScript形式のマイニングスクリプト「CoinMiner」でした。昨年はダウンローダー型のマルウェアが検出数の大半を占めていましたが、今年に入ってからWebブラウザーを狙った攻撃やアドウェアなどの検出が多く見られ、脅威が多様化しています。それを示すように、2月の検出数上位10種のマルウェアのうち7種はWebブラウザーを実行環境とするもの(JS/やHTML/で始まる検出名)でした。
■バンキングマルウェア「Ursnif」感染を狙ったメール攻撃
バンキングマルウェア「Ursnif」の感染を狙ったメールが多く確認されています。「Ursnif」は、インターネットバンキングサイトの認証情報(ユーザIDやパスワード等)やクレジットカード情報を窃取します。感染した場合、銀行口座からの不正送金やクレジットカードの不正利用などの被害に遭う可能性があり、警視庁や日本サイバー犯罪対策センターをはじめ他のベンダーからも、多くの注意喚起が出ています。
一般財団法人 日本サイバー犯罪対策センター 注意喚起情報
「インターネットバンキングマルウェアに感染させるウイルスメールに注意」
【 https://www.jc3.or.jp/topics/virusmail.html 】
「Ursnif」の感染を狙ったメール攻撃は大きく分けて2種類あります。1つ目はMicrosoft Officeのマクロ機能を悪用し「Ursnif」のダウンローダーをメールに添付しているパターンです。ESET製品では「VBA/TrojanDownloader.Agent 」として検出します。2つ目はメール本文中に「Ursnif」のダウンローダーのURLを記載しているパターンです。今回は2つ目のパターンについて詳しくご紹介します。
次の画像は楽天カードを騙り、「Ursnif」のダウンロード用URLを記載したメールの例です。
[画像3: https://prtimes.jp/i/1375/389/resize/d1375-389-616989-2.jpg ]
楽天カードを騙ったメールの例
本文中のリンクは、一見すると楽天カード株式会社の正規のドメインのように見えますが、実際には攻撃者のドメインにアクセスするよう設定されています。このリンクをクリックすると、悪性のJavaScriptファイルがダウンロードされ、ファイルを実行すると「Ursnif」に感染します。
[画像4: https://prtimes.jp/i/1375/389/resize/d1375-389-407055-3.jpg ]
バンキングマルウェア「Ursnif」感染までの流れ
ESET製品では、この悪性JavaScriptファイルを「PowerShell/TrojanDownloader.Agent」として、Ursnif本体を「Win32/Spy.Ursnif」としてそれぞれ検出し脅威を防ぎます。
感染のステップに使われる3つのプログラム(図中4.wscript.exe、同5.cmd.exe、同6.powershell.exe)はいずれもWindowsに標準で搭載されている正規のプログラムです。PowerShellはコマンドプロンプトより高度な処理を行うことができるため、悪用される事例が増えています。
wscript.exeはWindowsでJavaScriptファイル(拡張子.jsまたは.jse)を実行するための既定のプログラムとして設定されています。この既定のプログラムをメモ帳などのテキストエディタに変更しておくとファイルが開かれてもスクリプトが実行されないため、感染を防ぐことができます。Windows上でJavaScriptファイルを実行しない場合は、設定変更を推奨します。
JavaScriptファイルを開く既定のプログラムの設定は、(Windows10の場合)スタートボタンを右クリック > [コントロール パネル] > ([プログラム]) > [既定のプログラム] > [ファイルの種類またはプロトコルのプログラムへの関連付け] > 拡張子一覧から「.js」(「.jse」)を選択し [プログラムの変更] > プログラム名の一覧から「メモ帳」などテキストエディタを選択することで、変更ができます。
なお、この設定変更は、Webブラウザー上におけるJavaScriptの実行には影響しません。
[画像5: https://prtimes.jp/i/1375/389/resize/d1375-389-533589-4.jpg ]
既定のプログラムの設定変更
■Adobe Flash Playerの脆弱性を突いた攻撃を確認
Adobe Flash Playerの脆弱性(CVE-2018-4878)を悪用した攻撃が確認されています。ある事例では、この脆弱性を悪用するエクスプロイトコードがMicrosoft Officeファイルに埋め込まれており、ファイルを開いただけで攻撃者によって仕組まれたプログラム(攻撃者サーバーとの通信、別のマルウェアのダウンロード)が実行されます。
[画像6: https://prtimes.jp/i/1375/389/resize/d1375-389-151864-5.jpg ]
脆弱性を悪用するエクスプロイトコードを含んだMicrosoft Wordファイル
この脆弱性に対する アドビ システムズ社のセキュリティアップデート(https://helpx.adobe.com/jp/security/products/flash-player/apsb18-03.html)は既に公開されています。未適用の場合、速やかに適用されることを推奨します。また、ESET製品ではこの脅威を「SWF/Exploit.CVE-2018-4878」として検出し脅威を防ぎます。
ご紹介したように、2月はバンキングマルウェア「Ursnif」の感染を狙った攻撃やAdobe Flash Playerの脆弱性を悪用した攻撃が確認されました。常に最新の脅威情報をキャッチアップすることが重要です。
■マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、インターネットをより安全に活用するために、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。
マルウェア情報局
【 https://eset-info.canon-its.jp/malware_info/ 】
※ESETは、ESET, spol. s r.o.の商標です。
**********************************
●報道関係者のお問い合わせ先:
キヤノンITソリューションズ株式会社
事業推進部 コミュニケーション推進課
03-6701-3603(直通)
●一般の方のお問い合わせ先 :
キヤノンITソリューションズ株式会社
サポートセンター 050-3786-2528(直通)
**********************************
企業プレスリリース詳細へ
PR TIMESトップへ
この記事に関連するニュース
-
Pythonがサイバーセキュリティ分野で人気がある5つの理由
マイナビニュース / 2024年5月2日 11時10分
-
Pythonベースのトロイの木馬配布するサイバー攻撃確認、北朝鮮関与の疑い
マイナビニュース / 2024年5月2日 8時56分
-
今押さえておきたいサイバーセキュリティ用語 第6回 ウイルス対策ソフトを突破するファイルレス攻撃とは?
マイナビニュース / 2024年4月26日 13時0分
-
チェック・ポイント・リサーチ、2024年3月に最も活発だったマルウェアを発表 Remcosの新たな展開手法を発見、国内ではFormbookが引き続き首位に
PR TIMES / 2024年4月16日 16時15分
-
Adobe Readerのインストール求めるPDFファイルに注意、マルウェア感染の恐れ
マイナビニュース / 2024年4月9日 8時51分
ランキング
-
1円上昇、一時151円台 3週間ぶり円高水準、介入警戒も
共同通信 / 2024年5月3日 22時28分
-
2過度な動き「ならす必要も」=円安、介入コメントせず―鈴木財務相
時事通信 / 2024年5月3日 23時51分
-
3日銀がこれほどまで円安を「無視」する3つの理由 「為替は管轄外」では、結局うまくいかない?
東洋経済オンライン / 2024年5月4日 8時30分
-
4いなば食品、大炎上も「ほぼ沈黙」の戦略的な是非 「沈黙は金」黙って耐える…のはもう通用しない
東洋経済オンライン / 2024年5月3日 19時30分
-
5黒田東彦・日銀前総裁「円安は一時的」…NYの講演で見解、マイナス金利解除・利上げは「当然のこと」
読売新聞 / 2024年5月3日 17時45分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください