このページの本文へ

防御の突破を狙ってマルウェアはますます巧妙にトピックス・イベントレポート

~2017年上半期マルウェアレポートを発表~

キヤノンITソリューションズは、8月8日に2017年上半期のマルウェア動向について公開した。傾向としては、従来よりも自然な日本語によるフィッシングメールの増加や、マルウェアに使用されるプログラミング言語やファイル形式の変化といった、攻撃手法の多様化が見られる。

石川 堤一 氏

キヤノンITソリューションズ マルウェアラボ
シニアセキュリティリサーチャー


今回のマルウエア動向の解説を行った石川氏は20年に渡りESET製品をはじめとした海外製品のローカライズ業務に携わり数多くの日本語版製品を世に送り出す。また、ウイルス感染やスパム対策、フィッシング被害のサポート業務にも従事。

現在はこれまでの経験を活かして、マルウェア情報局にて、国内で確認された新しい脅威に対するレポートや注意喚起などの啓蒙活動をはじめ、マルウェア解析サービスのマネージャーとしても活動中。

2017年第2四半期からマルウェア検出数は増加傾向に

2017年上半期の月別国内マルウェア検出数

今回公開されたマルウエア動向は、「ESETスマートセキュリティ」をはじめとするキヤノンITソリューションズのエンドポイント向けセキュリティ製品が日本国内で実際に検出したデータを元に、2017年上半期のマルウェアの動向について解説している。

マルウェアの総検出数は、2016年下半期よりも減っているものの、情報搾取型マルウェア「Ursnif」や、ランサムウェア「WannaCryptor(WannaCry)」の出現によって、2016年上半期と比較すると増加傾向にある。また、月ごとの検出数では、1~3月は検出数が減っているが、4~6月は平均で39%ずつ上昇に転じている。

石川氏によれば、近年国内で検出されるマルウェアのほとんどが、メールの添付ファイルとして送られてくるダウンローダと呼ばれるマルウエアであるという。メール受信者が添付ファイルを開くと、ダウンローダが実行され、マルウェア本体がダウンロードされる、という仕組みになっている。

マルウェアのプログラミング言語やファイル形式が多様化

2017年4月以降の変化は、マルウェアの検出数だけではない。4月以前は、さまざまなマルウェアが検出されていたが、4月以降は特定のマルウェアが短期的かつ集中的に検出されるようになった。具体的には、5月はPDFを利用したマルウェア、6月にはPowerShellを利用したマルウェアが集中的に用いられている。

マルウェアが実行させるプログラミング言語は、従来よりJavaScriptが主流であり、2016年はほぼ毎日のようにJavaScriptを用いたマルウェアの亜種が送りつけられていたという。しかし、2017年は1~2月こそ多かったものの、3~4月は少なく、5~6月は再び増加に転じている。

WordやExcelのマクロとして用いられるVisualBasicを利用したマルウェアも、2016年はコンスタントに検出されていたが、2017年前半にはほぼ検出されず、第2四半期に入って再び増加傾向にある。

一方、PowerShellを利用したマルウェアは、2017年5月まではほぼ検出されていなかった。しかし、5月以降は急激に増えている。PowerShellを利用した攻撃としては、Windowsのショートカットファイルの実行パスにPowerShellのコマンドが埋め込まれていたケースもあったという。

2017年上半期におけるマルウェアの特徴としては、ファイル形式の変化も挙げられる。とりわけ、PDFを利用するマルウェアが5月後半以降に急増している。PDFを開く際に、添付されたファイルに関連付けられたアプリケーションが自動的に起動する仕組みを利用して、ダウンローダを仕込んだWordやExcelファイルを開かせる手口である。

このような、マルウェアが実行させるプログラミング言語やファイル形式の変化について、石川氏はゲートウェイやメールサーバにおける対策の突破を狙った、いわゆる「入口対策」が目的ではないか、と分析する。

以上のことを踏まえて、キヤノンITソリューションズでは、2017年上半期の傾向について「1~3月は2016年に登場したマルウェアの亜種が段階的に減ってきている状態だったが、4月以降は対策の突破を狙った新たな手口が出現する傾向にある」と捉えている。

情報搾取型マルウェアは「Unsnif」が猛威を振るう

続いて、日本国内におけるマルウェアの主流のひとつである情報搾取型マルウェアについての解説が行われた。

2017年上半期を代表する情報搾取型マルウェアが、1月以降に出現した「Ursnif」である。「Ursnif」は、日本語のメールによる攻撃で、日本のユーザーをターゲットに配送業者を装った発送案内メールに、書類を装ったダウンローダが添付されている。

XLSファイルを利用した情報搾取型マルウェアの例

「Ursnif」の手口は、2016年に流行した「Bebloh」と同じ(ウイルス設計は異なる)で、「Bebloh」がゲートウェイやメールサーバで対策されてしまったため、「Ursnif」が登場したものと思われる。

なお、「Ursnif」で用いられるExcel形式の添付ファイル(XLS形式)は、開いただけでは発症しない。文書内にマクロ機能を有効にするよう書かれており、指示通りにマクロ機能を有効にしてしまうと発症し、マルウェア本体がダウンロードされてしまう。Word形式の添付ファイル(DOC形式)で、文書上のアイコンをダブルクリックさせて発症するケースもあったという。

石川氏は、先に述べたPDFや、XLSおよびDOC形式のファイルが攻撃に利用されるようになった原因が「特定拡張子の利用禁止」にあるのではないか、と分析する。多くの企業が、ゲートウェイやメールサーバでプログラムとして直接実行可能な添付ファイル(.exe、.js、.vbsなど)を禁止にするなど、運用面での対策が進んでいる。一方、業務で使われるDOC/XLS/PDF形式のファイルは禁止できない。そこで、ゲートウェイやメールサーバを突破するために、DOC/XLS/PDF形式が利用されるようになったのではないか、と考えられる。

情報搾取型マルウェアとしては、Wordやワードパッドの脆弱性「CVE-2017-0199」を狙ったマルウェアの検出が、6月に入って急増している。「CVE-2017-0199」を突いた攻撃では、DOCファイルを装ったRTFファイルを開くことで特定ファイルがダウンロードされ、そこに含まれる任意コードが実行されることによって、C&Cサーバへのデータ流出が発生してしまう。

石川氏は、情報搾取型マルウェアへの対策として、Microsoftの月例セキュリティ修正プログラムの適用や、ウイルス対策ソフトの導入に加えて、MS Officeのマクロ機能をデフォルトで無効にするとともに、旧形式の拡張子(.doc、.xlsなど)の利用をできるだけ避けるよう指摘した。また、Webブラウザの関連付けから、普段使用しない拡張子を外すことも有効な対策になるという。

「WannaCryptor」は終息したが脅威は依然として存在

「WannaCryptor」発生から6月末までの国内検出状況

2017年上半期のランサムウェアといえば、やはり5月に世界的な感染が発生した「WannaCryptor(WannaCry)」だろう。「WannaCryptor」は、ポート445に対して「EternalBlue」攻撃を仕掛け、侵入後に「DoublePulser」攻撃によって「WannaCryptor」自身をコピー、発症するとPC上のデータを暗号化して身代金を要求するとともに、他のPCへ同様の攻撃を仕掛ける仕組みとなっている。

「WannaCryptor」の脅威は、6月に「キルスイッチ」が発見されて以降、検出数が減少して収束した。しかし、「WannaCryptor」と同様にSMBの脆弱性「CVE-2017-0147」を狙ったマルウェアは数多く存在しており、「WannaCryptor」終息後も連日検出されているという。

日本語表示でさらに巧妙化した偽サイトやフィッシング

スマートフォンに対応した偽警告画面

情報搾取型マルウェアやランサムウェアと同様に、日本において大きな脅威となっているのが、偽(模倣)サイトやフィッシングである。とりわけ、3月以降は偽の警告画面が急増しており、2017年に入ってからは日本語の偽警告画面も増えている。

偽警告画面の目的は、偽セキュリティソフトのインストールや、決済画面に誘導して支払いをさせることで、近年の特徴は、従来からあったPC向けの偽警告画面に加えて、スマートフォン表示に対応した偽警告画面の増加である。石川氏によれば、いわゆる「まとめサイト」などに差し込まれている広告から、偽警告画面へリダイレクトされるケースもあるという。

このほか、1月と3月にはMicrosoftのライセンス認証を装ったフィッシングメール、および偽サイトが登場しており、日本語で書かれたフィッシングメールや偽サイトまで用意されていた。また、Microsoftのサポートを装った偽警告画面では、流暢な日本語音声によるアナウンスまで流れるなど、手口のさらなる巧妙化がみられる。

多様化する攻撃を防ぐには総合的な対策が必要

キヤノンITソリューションズは、2月に発表した資料において、今後のマルウェア動向について「より自然な日本語の文書を利用した攻撃の増加」や「これまであまり使われてこなかったプログラミング言語や、手法を用いた攻撃の出現」に代表される、「攻撃の多様化」を予測していた。結果的に、この予測は見事に的中したといえる。

一方で石川氏は、近年のさまざまなマルウェアは「以前に成功した攻撃を真似たもの」であると語り、攻撃者は「いかに(マルウェアであることが)バレるのを遅らせるか」「どうやって入口対策を突破するか」を考えている、と分析する。先に述べた、マルウェアが実行させるプログラミング言語の変化や、ファイル形式の変化といった「攻撃の多様化」も、これらを狙ったものだという。

「WannaCryptor」に利用された「EternalBlue」や「DoublePulser」といった攻撃ツールは、Shadow Brokersと称するグループによってリークされたものである。Shadow Brokersは、攻撃ツールだけでなく脆弱性情報も数多くリークしており、今後はリークされた脆弱性が攻撃につながる可能性も考えられる。

このように、攻撃手法が多様化・複雑化する状況では、「入口対策」はもちろん、攻撃の各段階に対応できなければ防御は難しい。「入口対策」を過信せず、URLフィルタリングによるマルウェア本体のダウンロードの阻止や、メモリ上のプロセス解析に対応したソリューションを用いたマルウェアによる情報流出の阻止など、総合的なセキュリティ対策が重要である。

セキュリティに関するお問い合わせ