11月は不正スクリプトが埋め込まれたHTMLファイルであるHTML/ScrInjectが最多
11月に最も多く検出されたマルウェアは、不正なスクリプトが埋め込まれたHTMLファイルの総称であるHTML/ScrInjectだった。HTML/ScrInjectは、単体のJavaScriptファイルであるJS/RedirectorやJS/Adware.Agentなどと同様に、Webページ閲覧中に自動的に実行される。その結果、不正なWebサイトへのリダイレクト、マルウェアのダウンロード、不正広告の表示、Web閲覧情報の窃取などが行われるおそれがある。
HTML/ScrInjectは、Webサイト管理者によって置かれる場合もあるが、多くは攻撃者によってWebサイトが改ざんされ、置かれたものだ。過去の事例では、正規のWebサイトが改ざんされて、Webブラウザーの脆弱性を突いたドライブバイダウンロードが仕掛けられていた。その結果、脆弱性の残るWebブラウザーを利用している閲覧者にマルウェアが配布されていた。
バンキングマルウェアEmotetを国内で確認
バンキングマルウェアEmotetが、今年の夏頃から世界中で猛威を振るっている。感染するとインターネットバンキングサイト等のWebサービスにおける認証情報(ID、パスワードなど)を窃取され、不正送金やクレジットカードの不正利用の被害に遭う可能性がある。
今回のEmotetメールの拡散は、11月5日頃から活動が始まった。メールの件名に英語やドイツ語が使われていることから、英語圏およびドイツ語圏のユーザーが主な標的と考えられる。日本国内においては11月29日頃に検出のピークを迎えている。
Emotetの主要な感染経路はメールで、メールにはEmotetのダウンローダーとして機能するWordファイルやPDFファイルが添付されている。メールの差出人は実在する組織を装っており、請求書や銀行口座の支払通知などを送付するとの名目で受信者がファイルを開くよう誘導する。PDFに記載されたURLからダウンロードしたファイルを実行、あるいはWordファイルのマクロを実行すると、Emotetに感染する。
インターネット広告収入を不正に得たサイバー犯罪グループが解体
11月27日にインターネット広告ビジネスの仕組みを悪用し、不正に広告収入を得た罪で、2つのサイバー犯罪グループが解体され、8名が逮捕された。この逮捕には、様々な企業が協力しており、ESET社は容疑者らが使用したマルウェアを解析し、技術提供を行った。
サイバー犯罪者は、より多くの収益を得るために、広告の表示回数を水増しさせようとする。広告の表示回数を水増しする一般的な方法としては、同一のIPアドレスから同一のWebサイトに何度もアクセスする方法があるが、この方法ではネット広告代理店から不正が疑われる。
今回の攻撃では、攻撃者は異なるIPアドレスからアクセスさせるために、不特定多数の端末にマルウェアを感染させ、Webサイトにアクセスするように感染端末を制御していた。この手法は、3ve(イブ)と呼ばれており、被害額は数百万ドル(数億円)、不正広告は1日に最大で30億回以上も表示されていた。
3veで使用されるマルウェアは2種類あり、どちらもアドウェア。その2つのアドウェア、BoaxxeとKovterを用いた不正広告収入を得る手法について、マルウェアレポートで図解している。
