ピックワールド(PIC World)

インフォメーション

この記事は 2017年12月03日 に以下のカテゴリに投稿されました Security.

この記事のタグ

, , , , , , , , , ,


2017年 10月のマルウェア検出レポート – キャノン IT ソリューションズ

2017年10月のキャノン IT ソリューションズが公開している、マルウエア検出レポートです。

個人的には、10月は VBA を使ったマルウエアが多いかなと思っていたら、まさにその通りでした。

2017年10月のマルウェア検出レポートを公開
~DDEを悪用したダウンローダーを多く検出~
キヤノンITソリューションズ株式会社

キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社(本社:東京都品川区、代表取締役社長:神森 晶久、以下キヤノンITS)は、2017年10月のマルウェア検出状況に関するレポートを公開しました。

2017年10月のマルウェア検出レポート

2017年10月のマルウェア検出レポート

■2017年10月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データを基に、2017年10月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。

2017年10月のマルウェア検出状況に関するレポート
https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1710.html

■10月の概況
9月に多く確認されたVBS(VBScript)形式のダウンローダーは減少し、代わってVBA(Visual Basic for Applications)形式のダウンローダーが増加し、全体の27%の検出数で1位でした。攻撃の初期段階で使用されているダウンローダーの形式が毎月変化していることから、形式を頻繁に変えることで、セキュリティソフトに検知されないようにしている可能性が考えられます。
また10月後半には、新たな手口としてDDE(Dynamic Data Exchange)を悪用したダウンローダー「VBA/DDE」が多く検出され、10月全体では8%の検出数で3位でした。

■DDEを悪用したダウンローダー
DDE(Dynamic Data Exchange)とは、Windowsアプリケーション間のデータ転送方式の一つで、アプリケーション間でコマンドの発行・結果の受信が可能です。DDE自体は古くからあるWindowsの技術ですが、攻撃者は新たな手口としてこの技術を悪用し攻撃に利用しています。

メールに添付された「VBA/DDE」の感染フロー

メールに添付された「VBA/DDE」の感染フロー

DDEを悪用したマルウェア(ダウンローダー)は、以下のフローで感染します。
①攻撃者はDDEを悪用したファイルをメールに添付し送信します。
②この添付ファイルを開くと、1つ目のダイアログが表示されます。
③「はい(Y)」を選択すると、2つ目のダイアログが表示されます。
④2つ目のダイアログで「はい(Y)」を選択すると、ダウンローダーが実行されます。
⑤このダウンローダーが別のマルウェアをダウンロードし、実行・感染します。
※どちらかのダイアログで「いいえ(N)」を選択することで、マルウェアの実行を回避できます。

このマルウェアは、ESET製品では「VBA/DDE トロイの木馬」として検出されます。国別でみると、VBA/DDEは特に日本で多く検出されています。

国別のVBA/DDE検出数の比率(2017年10月)

国別のVBA/DDE検出数の比率(2017年10月)

また、VBA/DDEはランサムウェア「Locky」(Win32/Filecoder.Locky)(https://eset-info.canon-its.jp/malware_info/news/detail/160218.html を参照)」の攻撃としても利用されていました。10月19日~20日にかけて、VBA/DDEの検出数に比例して、Win32/Filecoder.Lockyの検出数も増えていることがわかります。

VBA/DDEとランサムウェアLockyの検出数(2017年10月)

VBA/DDEとランサムウェアLockyの検出数(2017年10月)

この攻撃では、メールに添付されたDDEを悪用したダウンローダーを実行すると、Lockyをダウンロードし実行します。これにより、Lockyに感染しファイルが暗号化されます。

DDEを悪用したマルウェアは、レジストリを変更することで、感染リスクを低減することができます。詳しくは、マイクロソフト社のセキュリティTechCenter記事「Dynamic Data Exchange (DDE) フィールドを含む Microsoft Office ドキュメントを安全に開く方法(https://technet.microsoft.com/ja-jp/library/security/4053440.aspx)」を参照してください。

■新種のランサムウェアの出現
10月は、新種のランサムウェア「Bad Rabbit」が話題になりました。このランサムウェアは、主に水飲み場型攻撃によって配布され、Adobe Flash Playerに偽装したインストーラを実行することで感染します。このマルウェアに感染すると、ファイルが暗号化されます。そして再起動後にディスクの暗号化、およびマスターブートレコード(MBR)の書き換えが行われ、身代金要求画面が表示されます。またSMB(「サーバーメッセージブロック」の略で、Windowsの通信プロトコルの一種)を介してネットワーク内に感染を拡大します。

Bad Rabbitの侵入および感染拡大のフロー

Bad Rabbitの侵入および感染拡大のフロー

このマルウェアは、ESET製品では「Win32/Diskcoder.D」として検出されます。
その他にも新種のランサムウェアである「DoubleLocker」や「GIBON」など、複数の新たなランサムウェアが出現しています。今後もランサムウェアによる脅威が続くことが予想されますので、感染リスクも想定して、定期的なバックアップなど、被害を軽減させるための対策も重要となります。

■マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、より安全なインターネット活用のためのセキュリティ情報提供を目的として、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

マルウェア情報局
https://eset-info.canon-its.jp/malware_info/

※ESETは、ESET, spol. s r.o.の商標です。

以上

よく説明されていると思います。

素の Office ファイルが、添付されて送られてきたとしても、まぁすぐには開かないことが肝要ですね。

圧縮 (zip)された物だけが問題、なんて思っていたら、大変なことになってしまいます。

注意しましょう。(それぐらいしかできないんだけど)

投稿者のプロフィール

minorus
minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな(役にあんまり立たない)ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きまが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。


コメントを残す

最近の投稿

最近のコメント

アーカイブ