2017年12月の概況
12月はVBS(VBScript)形式のダウンローダーとVBA(Visual Basic for Applications)形式のダウンローダーが数多く検出された。ダウンローダーがダウンロードするマルウェアは時間や実行環境によって様々に変化するが、12月はバンキングマルウェアおよびランサムウェアをダウンロードするタイプが数多く確認された。
VBA形式のダウンローダーが数多く検出
12月上旬から中旬にかけて、VBA形式のダウンローダー「VBA/TrojanDownloader.Agent」が数多く検出された。このマルウェアは日本における検出数が非常に高く、日本在住者がターゲットであると考えられる。
このダウンローダーは「Win32/Spy.Ursnif」の亜種(別名DreamBot)をダウンロードすることが確認されている。「Win32/Spy.Ursnif」は、インターネットバンキングサイトの認証情報(ユーザIDやパスワード等)やクレジットカード情報を窃取する。このマルウェアに感染した場合、銀行口座からの不正送金やクレジットカードの不正利用などの被害に遭う可能性がある。
「VBA/TrojanDownloader.Agent」の主な感染経路はメールで、実際に存在する企業のサービスを装ったものも確認されている。身に覚えのない不審なメールの添付ファイルやURLリンクは絶対に開かないことが重要だ。
ESET製品では、これらのマルウェアを「VBA/TrojanDownloader.Agent」および「Win32/Spy.Ursnif」として検出する。また、一般社団法人日本サイバー犯罪対策センターが開設している「DreamBot・Gozi感染チェックサイト【試験運用中】」では、DreamBotに感染しているかどうかを確かめることができる。
ランサムウェアのダウンローダーを数多く確認
12月はランサムウェアのダウンローダーも数多く検出された。検出数の推移から、攻撃者が日によって「JS/TrojanDownloader.Nemucod」と「VBS/TrojanDownloader.Agent」との2つの形式のダウンローダーを使い分けていることが推測される。これらのダウンローダーの特徴は、「.7z」形式で圧縮されている点にある。広く利用されている「.zip」で圧縮されたファイルはゲートウェイのスパムメールフィルター等でブロックされる可能性が高く、検知を回避するために「.7z」形式を使っているものと考えられる。
ダウンロードされるランサムウェアとしては、「Win32/Filecoder.Locky」および「Win32/Filecoder.FV(別名GlobeImposter)」が確認されている。「Win32/Filecoder.Locky」に感染すると、特定の拡張子のファイルが暗号化され、その拡張子は「.asasin」に変更される。そして身代金要求文書を表示し、ファイルを復号(元に戻す)する条件として金銭の支払いを要求する。
身代金要求文書に記載されているURLにアクセスすると、支払いサイトが表示される。支払いサイトは様々な言語に対応しており、感染端末が日本語版のWindowsであった場合は、日本語で支払い方法が表示される。ここでは復号ツール「Locky Decryptor」の販売という名目で、身代金を要求する。要求額は0.5ビットコインで、日本円にしておよそ60万円に相当する。(2018年1月23日現在)
同様に、「Win32/Filecoder.FV」に感染するとPC上のファイルが暗号化され、ファイルを復号する条件として金銭の支払いを要求する。この場合の拡張子は「.doc」に変更される。
2017年、は1年間を通してランサムウェアが数多く確認された。2018年も引き続き警戒が必要。万が一ランサムウェアに感染した場合に備えて、日頃からバックアップを取っておくことが推奨される。
