SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZineニュース

VBAやPowerShell悪用のマルウェアが増加――キヤノンITSが6月のマルウェアレポートを公開

「ダウンローダ」にMicrosoftの関連ツール使用のマルウェアが増加

 2017年6月は、情報搾取やランサムウェア感染を狙う「ダウンローダ」と呼ばれるマルウェアに、Microsoft社関連の開発コードが使用されるケースが増加した。特に、Microsoft Office製品のマクロ機能VBAや、プログラム言語PowerShellを使用したマルウェアの増加量が高く、5月に比べVBAが17倍、PowerShellが12倍となった。PowerShellは、Windows7以降のOSに標準搭載されているツールで、今後も「ダウンローダ」に限らずマルウェアの作成に使用される可能性が高いものとみている。

上位5種のマルウェアの概要

 ・1位「JS/Danger.ScriptAttachment」

 6月に最も多く検出されたのは、前月2位の「JS/Danger.ScriptAttachment」。これはJavaScript言語で作られた「ダウンローダ」で、メールに添付されたファイルから検出されている。発症するとランサムウェアや情報搾取型マルウェアをダウンロードし感染を狙う。

 1月から4月は減少傾向で推移していたが、5月14日以降は約2週間の間隔で大量のばらまき型メール攻撃が観測されている。6月だけで30万件以上検出する結果となった。

 ・2位「VBA/TrojanDownloader.Agent」

 2位の「VBA/TrojanDownloader.Agent」は、主にMicrosoft Office製品のマクロ機能で使用されるVBA(Visual Basic for Application)で作られた「ダウンローダ」。6月末に特に大規模な攻撃が行われ、検出数は4月と5月の総検出量を上回り、25万件を超えた。

 この不正プログラムを組み込んだファイルの多くは請求書を装ったものであり、添付メールで送り付けるケースが数多く確認されている。いずれも「コンテンツの有効化」をクリックするよう誘導する内容が書かれていて、クリックすると「ダウンローダ」として機能する。最近ではメール本文も自然な日本語を使っていて、社内の部署を装ったケースなどもあり、偽装メールと判断しにくくなっている傾向がある。

 ・3位「PDF/TrojanDropper.Agent」

 3位は5月に1位だった「PDF/TrojanDropper.Agent」。6月6日から8日にかけて多発した「Jaff」ランサムウェア感染の「ドロッパー」として用いられていたことが確認されている。

 「ドロッパー」は、それ自体には不正コードが含まれないため入口対策では検出されにくく、システム内部に侵入した後に、何らかのタイミングでマルウェアを投下(=ドロップ)し、感染を狙う。「Jaff」ランサムウェアは6月だけで1月から5月までの総検出量を大きく上回っている。

 ・4位「Suspicious」(不審ファイルの呼称)

 ESET製品によって検出されたマルウェアにまだ名称がない場合、その不審ファイルを指す名称が「Suspicious」で、検出量4位となった。このように、ウイルス定義データベースによる検出ではない、未知のマルウェアと見られるものが多く検出された。(注:「Suspicious」で検出したものは、その後ウイルス定義データベースの更新によってマルウェア名が付与された形で検出されるケースもある)

 ・5位「PowerShell/TrojanDownloader.Agent」

 5位は、PowerShellで作られた「ダウンローダ」の「PowerShell/TrojanDownloader.Agent」だった。6月に確認されている攻撃では、メールを使ってMicrosoft Word形式ファイルを送り付け、そこに組み込まれたマクロが実行されると、Windowsのコマンドプロンプトが呼び出され、そこからPowerShellを使用してマルウェアのダウンロードと実行が行われていた。

 コマンドプロンプトから先の処理は、ファイルから実行されずメモリ上で展開されることもある。実行形跡が残らないため、原因の特定が遅れることにつながっている。

 

 上位に入ったマルウェアは、マルウェアが添付された「ばらまき型メール攻撃」が多くを占めており、そのメール攻撃量もたいへん多い状況が続いている。添付されているファイルは新種もしくは亜種のマルウェアが多く、ファイル形式は、ZIP圧縮形式(実行形式や文書形式ファイルが圧縮されている)、文書形式(PDF、DOC、XLS)などさまざまだ。日頃からよく利用されるファイル形式でもあるので、取り扱いに十分注意が必要だ。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/news/detail/9641 2017/08/07 16:30

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング