2017年7月のマルウェア検出レポートをキヤノン IT ソリューションズが公開 –VBAを悪用したマルウェアが増加

Office ドキュメントが添付ファイルで、知らないところ（人）からメールで送られてくるでしょ。

これが増加していると。

はい。確かに多いように思いますね。

これ、各種のドキュメントを装っているけれども、あれにはプログラムを作って入れておくことができるので、そのプログラムが、PC に悪さをするってことなのですね。

今までは、JavaScript で書かれていたり、圧縮した添付ファイルを展開すると、ウイルスに感染するなどが、多かったけれども、最近は、圧縮されていない、Word や Excel のファイルを開くと、大変なことになっちゃう！ってのが多いそうですよ。

キャノン IT ソリューションズが、2017年7月のマルウエア検出レポートを公開しているので紹介しておきます。

2017年7月のマルウェア検出レポートを公開
～開発コードVBAを悪用したマルウェアが増加～
キヤノンITソリューションズ株式会社

キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社（本社：東京都品川区、代表取締役社長：神森 晶久、以下キヤノンITS）は、2017年7月のマルウェア検出状況に関するレポートを公開しました。

2017年7月のマルウェア検出レポート – キャノン IT ソリューションズ

■2017年7月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データを基に、2017年7月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。

2017年7月のマルウェア検出状況に関するレポート
【 https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1707.html 】

■開発コードVBAを悪用したマルウェアが増加
これまでダウンローダー型のマルウェアはJavaScript形式が大半を占めていましたが、6月以降は、「VBA（Visual Basic for Applications）」を使用したMicrosoft Officeドキュメント形式のマルウェアが検出される比率が高くなりました。これは、JavaScript形式のダウンローダーに対するウイルス対策ソフトウェアの検知率が向上したために、別の手法が試されていると考えられます。

VBAを使用したMicrosoft Officeファイルを実行する際、Microsoft Officeの標準設定では実行前に警告が表示されます。しかし、警告を非表示にしているケースも多く、VBAの実行が意図せず行われてしまうケースが多いと推測されます。
セキュリティの観点から、Microsoft Officeのマクロは無効、もしくは警告を表示する設定を推奨します。

VBAのダウンローダーとJavaScriptのダウンローダーとの検出数比較（2017年・月別）

VBAのダウンローダー：「VBA/TrojanDownloader.Agent」JavaScriptのダウンローダー：「JS/Danger.ScriptAttachment」と「JS/TrojanDownloader.Agent」との合算

VBAのダウンローダーとJavaScriptのダウンローダーとの検出数比較（2017年・月別）

■Microsoftの技術サポートを装った詐欺サイト
Microsoftの技術サポートをかたった詐欺サイトが多く確認されています。詐欺サイトへアクセスするとダイアログが表示されるとともに、音声でユーザーに対する警告メッセージが流れます。
詐欺サイトは、「パソコンからマルウェアが検出されました」とユーザーの不安を煽り、偽のサポート窓口に電話をかけるよう促します。この窓口に電話をかけると、架空の有償サポート契約を結ぶよう迫られます。

Microsoftを騙った技術サポートの詐欺サイト

■ランサムウェア「Locky」の脅威
ダウンローダーがダウンロードするマルウェアとして、ランサムウェアが多く確認されました。7月に最も多く検出されたランサムウェアは「Locky（Win32/Filecoder.Locky）」です。2016年2月に初めて確認されて以来、プログラムコードを改変しながら、今なお活動を続けています。
Lockyは特定の拡張子を持つファイルのみを暗号化しますが、対象となる拡張子は2016年2月の150種類と比較して、2017年7月には3倍の450種類に増加しています。
また、従来のドキュメントファイルやマルチメディア（画像・音声・動画）ファイルに加えて、データベースファイルやゲームのセーブデータファイルなど、さまざまなファイルが暗号化の対象となっています。このことから、個人法人を問わず、あらゆるユーザーがLockyの標的とされていることがうかがえます。
主な感染経路はメールによるもので、ダウンローダーを送付する手口やLocky本体を直接（ZIP等で圧縮した上で）送付する手口が確認されています。

■マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、より安全なインターネット活用のためのセキュリティ情報提供を目的として、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

マルウェア情報局
【 https://eset-info.canon-its.jp/malware_info/ 】

※ESETは、ESET, spol. s r.o.の商標です。

以上

このニュースリリースにも記載されている通り、普通の設定だともしもこのような添付ファイルを開いても、VB アプリを実行するときに、ダイアログが出てくるのだけれども、自分でプログラムを作る人は、このダイアログはうざいので、出さないようにしている場合が多いと思う。

かえってそっちのほうが危ないのかもねぇと思ったり。

まぁ、簡単な対策は、添付ファイルは開かない！

でしょうねぇ。

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。