2017年11月のマルウェア検出レポートを公開

■2017年11月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データを基に、2017年11月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。

2017年11月のマルウェア検出状況に関するレポート
【 https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1711.html 】

■11月の概況
11月に国内で最も多く検出されたマルウェアは、LNK形式のダウンローダー（検出名：「LNK/TrojanDownloader.Agent」）です。LNK形式のダウンローダーは、Windowsに標準で搭載されているcmd.exeやpowershell.exeを悪用し、別のマルウェアをダウンロードします。
また、10月に増加した「VBA/DDE」（https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1710.html#anc_02）が、11月も多く検出されました。

■Microsoft Office数式エディターの脆弱性を悪用した攻撃の出現
11月は新たにMicrosoft Office数式エディターに存在する脆弱性（CVE-2017-11882）を悪用した攻撃が確認され、その検出数は14位でした。
本脆弱性への攻撃コードを含む悪性のWord文書がメールに添付され、「Ursnif（アースニフ）」と呼ばれるバンキングマルウェア（バンキングサイトの認証情報等を窃取するマルウェア）のダウンローダーとして使われた事例を確認しています。
 

　　　　　　　　　　　　Microsoft Office数式エディターの脆弱性を悪用した攻撃の事例

数式エディターは、Microsoft Office 2003以前のバージョンで数式を入力するために搭載されたソフトウェアで、Microsoft Office 2007以降においても互換性を確保するために搭載されています。しかしながら、このソフトウェアは2000年以来一度も更新されていませんでした。
本脆弱性を悪用した攻撃は特に日本国内における検出が顕著であり、日本のユーザーを狙った攻撃に多く使われていたことがわかります。ESET製品では、このような攻撃に利用される悪性のWord文書を「Win32/Exploit.CVE-2017-11882」として検出し、その後の脅威を防ぎます。
 

　　　　　　　　　　　Win32/Exploit.CVE-2017-11882の検出数の国別比率（11月）

この脆弱性に対する修正プログラムは既に公開されているので（※１）、速やかに適用することを推奨します。すぐに修正プログラムを適用できない場合は、Microsoft Officeの数式エディターを無効にすることを推奨します（※２）。マルウェアラボでは、数式エディターを無効にすることで本脆弱性に対する攻撃を回避できることを確認しています。
※１ 2017 年 11 月のセキュリティ更新プログラム
　https://blogs.technet.microsoft.com/jpsecurity/2017/11/15/201711-security-bulletin/
※２ 数式エディターを無効にする方法
　https://support.microsoft.com/ja-jp/help/4055535/how-to-disable-equation-editor-3-0


■Windows Movie Makerを改ざんした偽プログラムの増加
11月上旬に「Windows Movie Maker」を改ざんした偽プログラムの検出が増加しました。この偽プログラムは11月初めに検出が増加し、11月2日には世界で検出されたすべてのマルウェアのうち、3番目に多く検出されたマルウェアとなりました。
この偽プログラムは、すでに配布が終了しているMicrosoft社製の無料ビデオ編集ソフトウェア「Windows Movie Maker」を改ざんしたものです。実行すると「Windows Movie Maker」のトライアルバージョンを装ったプログラムがインストールされ、プログラム起動時に、フルバージョンを購入するように要求するメッセージと購入ボタンが表示されます。購入ボタンをクリックすると住所や氏名、クレジットカード番号の入力を要求されます。
 

　　　　　　　　　　　　　　偽プログラムを購入するよう要求するメッセージ

この偽プログラムの検出数が急増したのは、偽プログラムを配布しているウェブサイトが検索サイトの検索結果で上位に表示されたため、多くのユーザーが攻撃者の用意したウェブサイトにアクセスしてしまったことが原因の1つと考えられます。
 

　　　　　　　　　　　　　　　　検索サイトでの”Movie Maker”の検索結果表示

ソフトウェアのダウンロードや個人情報の入力の際は、検索順位に関わらず、そのサイトが信頼できるサイトであるかどうかを慎重に判断してください。
ESET製品では、この偽プログラムを「Win32/Hoax.MovieMaker」または「Win32/InstallMonetizer.AU」として検出します。また、この偽プログラムをダウンロードするウェブサイトにアクセスした場合は、ESET製品が通信をブロックします。

ご紹介したように、11月はソフトウェアの脆弱性を狙った攻撃や偽のプログラムを配布する攻撃が確認されました。常に最新の脅威情報をキャッチアップすることが重要です。


■マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、より安全なインターネット活用のためのセキュリティ情報提供を目的として、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

マルウェア情報局
【 https://eset-info.canon-its.jp/malware_info/ 】


※ESETは、ESET, spol. s r.o.の商標です。
**********************************
● 報道関係者のお問い合わせ先：
キヤノンITソリューションズ株式会社
 事業推進部 コミュニケーション推進課
03-6701-3603（直通）

● 一般の方のお問い合わせ先 ：
キヤノンITソリューションズ株式会社
サポートセンター 050-3786-2528（直通）
**********************************