2018年8月のマルウェアレポートを公開

~バンキングマルウェア感染を狙うIQYファイル悪用のばらまき型攻撃を観測~

キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社(本社:東京都品川区、代表取締役社長:足立 正親、以下キヤノンITS)は、2018年8月のマルウェア検出状況に関するレポートを公開しました。


■2018年8月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データをもとに、2018年8月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。

2018年8月のマルウェア検出状況に関するレポート
https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1808.html

■トピック
   ・8月の概況:Web上で動作するマルウェアの検出が増加
   ・バンキングマルウェア感染を狙う「IQYファイル」を用いたばらまき型攻撃
   ・Outlookユーザーを狙うバックドア

■8月の概況
8月に検出されたマルウェアでは、ファイル形式がJS(JavaScript)とHTMLのものが上位を占めました。これらの検出数を7月と比較した結果は、以下のとおりです。
 

               ファイル形式別の国内マルウェア検出数
              ※2018年3月の全検出数を100%として比較


上図からわかるように、ファイル形式がJSまたはHTML以外のマルウェアは減少している一方で、ファイル形式がJSまたはHTMLのマルウェアは共に大きく増加し、全体の検出数を押し上げています。

これらのマルウェアは、Web上で動作するものが大半です。そのため、Windowsだけではなく、他のOSを搭載したPCやスマートフォンなど、Webブラウザーを搭載しているあらゆるプラットフォームが攻撃の対象となります。


■バンキングマルウェア感染を狙う「IQYファイル」を用いたばらまき型メール攻撃
8月は、バンキングマルウェアUrsnifに感染させようとする、新たなばらまき型メール攻撃が観測されました。この攻撃は、一般的にあまり使用されない「.iqy」という拡張子のファイルを用いていることが特徴です。

拡張子「.iqy」ファイル(Webクエリファイル)はExcelのWebクエリ機能(※1)で用いられるアクセス先URLを記載したファイルで、今回の攻撃ではメールの添付ファイルとして拡散されました。
※1 Webクエリ機能:Web上のデータをダウンロードして表計算に利用する機能

                Webクエリファイルが添付されたメール

メールの件名は、「写真添付」「写真送付の件」「ご確認ください」「お世話になります」といったものが確認されています。

このばらまき型メール攻撃は8月6日に第一波、8月8日に第二波が確認されています。いずれも数十〜数百万通規模で拡散されたとみられ、各セキュリティベンダーなどから注意喚起が出されているほか、多くのニュースメディアでも取り上げられました。国外では、Necursボットネットを利用してFlawedAmmyyと呼ばれるRAT(遠隔操作ツール)に感染させようとする同様の攻撃が5月に確認されています。

マルウェアレポートでは、攻撃手法と対策について解説していますので、ご覧ください。


■Outlookユーザーを狙うバックドア
ESETは、Turla Outlook Backdoorと呼ばれるマルウェアを解析し、8月にその詳細をホワイトペーパー(※2)で報告しました。
※2 https://www.welivesecurity.com/wp-content/uploads/2018/08/Eset-Turla-Outlook-Backdoor.pdf

このマルウェアは、Outlookユーザーを狙ったバックドアです。サイバースパイ集団のTurlaによって作成されたと考えられており、2009年に確認されて以降、継続的にアップデートされています。実際に被害も発生しており、ドイツ外務省がこのバックドアに感染し、機密情報が搾取された可能性が示唆されています。

近年のTurla Outlook Backdoorの大きな特徴は、従来とは異なる手法で感染端末を制御することです。

バックドアの感染端末に対する制御は、コマンド&コントロールサーバー(以下C&Cサーバー)を介して行われるものが一般的です。一方、Turla Outlook Backdoorは、C&Cサーバーを介さなくても、感染端末を制御することが可能です。感染端末は、攻撃者から送信されたメールに添付されているPDFファイルによって制御されます。
 

            メールに添付されたPDFファイルによって制御される感染端末

マルウェアレポートでは、感染から、感染端末が制御されるまでの流れについて解説していますので、ご覧ください。
ご紹介したように、今月はバンキングマルウェア感染を狙う新たな攻撃が確認され、Outlookユーザーを狙ったバックドアの解析報告がありました。常に最新の脅威情報をキャッチアップし、対策を実施していくことが重要です。

■マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、インターネットをより安全に活用するために、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

マルウェア情報局
https://eset-info.canon-its.jp/malware_info/

※ESETは、ESET, spol. s r.o.の商標です。Windows、Excelは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。

**********************************
●報道関係者のお問い合わせ先:
キヤノンITソリューションズ株式会社
企画本部 事業推進部 コミュニケーション推進課
03-6701-3603(直通)

●一般の方のお問い合わせ先 :
キヤノンITソリューションズ株式会社
サポートセンター 050-3786-2528(直通)
**********************************

 

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。

すべての画像


会社概要

URL
http://www.canon-its.co.jp/
業種
情報通信
本社所在地
東京都港区港南2-16-6 キヤノンSタワー
電話番号
03-6701-3300
代表者名
金澤 明
上場
未上場
資本金
36億1700万円
設立
-