2018年8月のマルウェアレポートを公開 – キャノン IT ソリューションズ

キャノン IT ソリューションズが毎月公開している、マルウエアレポートを紹介します。

2018年8月は、バンキングマルウエアに感染させる e-mail のバラマキが目立って観測されたそうですよ。

もしかしたら皆さんにも届いているかも？

*.iqy なんて、あまり使われない拡張子へのリンクが記載された e-mail です。

2018年8月のマルウェアレポートを公開
～バンキングマルウェア感染を狙うIQYファイル悪用のばらまき型攻撃を観測～
キヤノンITソリューションズ株式会社

キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社（本社：東京都品川区、代表取締役社長：足立 正親、以下キヤノンITS）は、2018年8月のマルウェア検出状況に関するレポートを公開しました。

2018年8月のマルウェアレポートを公開 – キャノンITソリューションズ

■2018年8月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データをもとに、2018年8月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。

2018年8月のマルウェア検出状況に関するレポート
【 https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1808.html 】

■トピック
・8月の概況：Web上で動作するマルウェアの検出が増加
・バンキングマルウェア感染を狙う「IQYファイル」を用いたばらまき型攻撃
・Outlookユーザーを狙うバックドア

■8月の概況
8月に検出されたマルウェアでは、ファイル形式がJS（JavaScript）とHTMLのものが上位を占めました。これらの検出数を７月と比較した結果は、以下のとおりです。

8月の概況

ファイル形式別の国内マルウェア検出数
※2018年3月の全検出数を100%として比較

上図からわかるように、ファイル形式がJSまたはHTML以外のマルウェアは減少している一方で、ファイル形式がJSまたはHTMLのマルウェアは共に大きく増加し、全体の検出数を押し上げています。

これらのマルウェアは、Web上で動作するものが大半です。そのため、Windowsだけではなく、他のOSを搭載したPCやスマートフォンなど、Webブラウザーを搭載しているあらゆるプラットフォームが攻撃の対象となります。

■バンキングマルウェア感染を狙う「IQYファイル」を用いたばらまき型メール攻撃
8月は、バンキングマルウェアUrsnifに感染させようとする、新たなばらまき型メール攻撃が観測されました。この攻撃は、一般的にあまり使用されない「.iqy」という拡張子のファイルを用いていることが特徴です。

拡張子「.iqy」ファイル（Webクエリファイル）はExcelのWebクエリ機能（※1）で用いられるアクセス先URLを記載したファイルで、今回の攻撃ではメールの添付ファイルとして拡散されました。
※1 Webクエリ機能：Web上のデータをダウンロードして表計算に利用する機能

Webクエリファイルが添付されたメール

メールの件名は、「写真添付」「写真送付の件」「ご確認ください」「お世話になります」といったものが確認されています。

このばらまき型メール攻撃は8月6日に第一波、8月8日に第二波が確認されています。いずれも数十〜数百万通規模で拡散されたとみられ、各セキュリティベンダーなどから注意喚起が出されているほか、多くのニュースメディアでも取り上げられました。国外では、Necursボットネットを利用してFlawedAmmyyと呼ばれるRAT（遠隔操作ツール）に感染させようとする同様の攻撃が5月に確認されています。

マルウェアレポートでは、攻撃手法と対策について解説していますので、ご覧ください。

■Outlookユーザーを狙うバックドア
ESETは、Turla Outlook Backdoorと呼ばれるマルウェアを解析し、8月にその詳細をホワイトペーパー（※2）で報告しました。
※2 https://www.welivesecurity.com/wp-content/uploads/2018/08/Eset-Turla-Outlook-Backdoor.pdf

このマルウェアは、Outlookユーザーを狙ったバックドアです。サイバースパイ集団のTurlaによって作成されたと考えられており、2009年に確認されて以降、継続的にアップデートされています。実際に被害も発生しており、ドイツ外務省がこのバックドアに感染し、機密情報が搾取された可能性が示唆されています。

近年のTurla Outlook Backdoorの大きな特徴は、従来とは異なる手法で感染端末を制御することです。

バックドアの感染端末に対する制御は、コマンド＆コントロールサーバー（以下C&Cサーバー）を介して行われるものが一般的です。一方、Turla Outlook Backdoorは、C&Cサーバーを介さなくても、感染端末を制御することが可能です。感染端末は、攻撃者から送信されたメールに添付されているPDFファイルによって制御されます。

メールに添付されたPDFファイルによって制御される感染端末

マルウェアレポートでは、感染から、感染端末が制御されるまでの流れについて解説していますので、ご覧ください。
ご紹介したように、今月はバンキングマルウェア感染を狙う新たな攻撃が確認され、Outlookユーザーを狙ったバックドアの解析報告がありました。常に最新の脅威情報をキャッチアップし、対策を実施していくことが重要です。

■マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、インターネットをより安全に活用するために、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

マルウェア情報局
【 https://eset-info.canon-its.jp/malware_info/ 】

※ESETは、ESET, spol. s r.o.の商標です。Windows、Excelは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。

以上

Outlook 使っているので、このバックドア攻撃は、怖いですね。

添付ファイルはほんとに開いちゃダメですよ。

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。