2019年6月のマルウェアレポートを公開～日本語環境をターゲットにしたばらまき型メールが急増～

毎日たくさん来るし、さすがにそんなもん毎日処理していられないので、振り分けて、見もしないで、消すように自動処理しちゃってる。

いろんなツールの判定も試して入るが、ダメだね。

って言うよりは、常に新手で来るから、対応できないんだな。

ということで、ズバッとやっちゃってるから、最近は傾向がわからんのだが、日本語のフィッシングメールは多いが、あまり手の混んでいないものが多くてすぐにバレちゃう程度のものが多い様に思う。

ただし、安心はできない。

2019年6月のマルウェアレポートを公開～日本語環境をターゲットにしたばらまき型メールが急増～
キヤノンMJ

キヤノンマーケティングジャパン株式会社（代表取締役社長：坂田正弘、以下キヤノンMJ）は、2019年6月のマルウェア検出状況に関する最新のレポートを公開しました。6月は、日本語環境を狙ったばらまき型メールが急増しており、弊社マルウェア情報局からも注意喚起しています。

2019年6月のマルウェアレポートを公開

キヤノンMJのサイバーセキュリティに関する研究を担うマルウェアラボは、国内で利用されているウイルス対策ソフトウェア「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データを基に、2019年6月のマルウェア検出状況を分析し最新のレポートを公開しました。

2019年6月のマルウェア検出状況に関するレポート
【 https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1906.html 】

■ トピック
・悪意のある広告を表示させるアドウェアが国内外を問わず上位を占拠
2019年6月は、悪意のある広告を表示させるアドウェアが多数検出され、第1位はJS/Adware.Agentで、第2位はJS/Adware.Subpropでした。これら２種類のアドウェアは、海外でも非常に多く検出されています。

・日本語環境を狙ったばらまき型メール
6月には、マルウェアDOC/Agent.DZも猛威を振るい、6月17日から6月30日までの14日間で極めて多く検出されました。このマルウェアの検出は6月17日にばらまかれたメールに添付されたExcelファイルが大半を占めており、そのExcelファイルのVBA（Visual Basic for Applications）のコードとPowerShellのコマンドには、Long Dateフォーマットの日付文字列を利用して日本語環境を検知し、感染対象を絞る処理が記述されていました。
攻撃者は、日本語環境でしか動作しないように解析妨害を施し、自動解析で動作しないようにすることや解析を遅らせることで、検知を遅らせ感染拡大を狙っていた可能性があります。

＜“2019年6月マルウェアレポート”の主な内容＞

■ 6月の概況
2019年6月の国内で最も多く検出されたマルウェアはJS/Adware.Agentで、第2位はJS/Adware.Subpropでした。どちらも、悪意のある広告を表示させるアドウェアでWeb閲覧中に実行されます。表示された悪質な広告をクリックすると不正なWebサイトへアクセスし、別のマルウェアをダウンロードされる可能性があります。
また国内では、6月17日に登録されたマルウェアDOC/Agent.DZが検出され、6月全体の国内検出数上位5位にランクインしました。DOC/Agent.DZ は、6月17日から6月30日までの14日間で極めて多く検出されましたが、日本以外ではほとんど検出が確認されていません。

【解説】日本語環境を狙ったばらまき型メール「DOC/Agent.DZ」について
DOC/Agent.DZの検出は、6月17日にばらまかれたメールに添付されたExcelファイルが大半を占めています。メールの件名は「Re: 請求書の送付」、「ご案内[お支払い期限:06月18日]」などで、トータル7種類の件名が確認されています。添付されたExcelファイルのマクロを有効化すると、画像ファイルPCにダウンロードされます。これは2018年10月のマルウェアレポートで紹介した、データを画像ファイル内に隠蔽する「ステガノグラフィー」を用いた攻撃手法です。
このExcelファイルのVBAProjectは簡単には解除できない方法でロックが掛けられており、攻撃者がVBAコードの解析の妨害をしていると考えられます。VBAコードを抽出し分析したところ、コード内のスクリプトにLong Date形式で日付を取得する処理の記述があり、日本語などの一部言語の場合は「YYYY年MM月DD日」というフォーマットで取得されます。このスクリプトで取得した日付の文字列に「年」が含まれている場合は、Excelのセル内の難読化された文字列を解読し、ダウンロードコマンドが作成されますが、含まれていない場合はそのまま終了します。このダウンローダーは、VBAコードのwmicコマンド経由でPowerShellを起動しダウンロード処理を行います。
PowerShellのコマンドはExcelのVBAコードと同様に日本語環境を検知する処理に加えて、インストールされているアンチウイルスソフトの情報やCPUの情報を攻撃者のサーバーに送信する処理が記載されており、巧妙化しています。これらのことからDOC/Agent.DZは日本語環境を狙ったマルウェアと考えられます。

今後も新種のマルウェアが流行する可能性があり、常に最新の脅威情報をキャッチアップし、対策を実施していくことが重要です。

■ マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンMJでは、インターネットをより安全に活用するために、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

マルウェア情報局
【 https://eset-info.canon-its.jp/malware_info/ 】

マルウェア情報局は、キヤノンMJが日本国内総販売代理店として取り扱うESET製品に関する情報や、マルウェアの情報を提供するポータルサイトです。本サイトでは、スロバキアのセキュリティベンダーESET社が発信するニュースを中心に、キヤノンMJのサイバーセキュリティに関する研究を担うマルウェアラボが発信するレポートを掲載しています。

※ESETは、ESET, spol. s r.o.の商標です。Visual Basic、PowerShellは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。

● 一般の方のお問い合わせ先    ：ESETサポートセンター               050-3786-2528
● ESETホームページ ：https://eset-info.canon-its.jp/
● ニュースリリースホームページ：canon.jp/newsrelease

以上

これ、バラマキ型と言われるぐらいだから、相当な数を流しているのだろうね。

その中には、条件的に、ピッタンコの人も、いちゃうわけ。

例えば、荷物が届く予定とか、Amazon の Prime の更新月だとかね。

たまたまそうで、そんなときにそんなメールが届いて、アカウントロックですぜ！なんて言われれば、アクセスしちゃう人も、いちゃうわけ。

まぁ、こんな感じの引掛けなので、はまらないように、信頼できるメール以外のリンクのクリックは、よく確認してからにしましょうね。

携帯電話にはよくあった(今でもあるけれど)ドメイン受信拒否みたいなものを、活用すると、少しは良くなるかもね。

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。