~バンキングマルウェア感染を狙うIQYファイル悪用のばらまき型攻撃を観測~
キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社(本社:東京都品川区、代表取締役社長:足立 正親、以下キヤノンITS)は、2018年8月のマルウェア検出状況に関するレポートを公開しました。
■2018年8月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データをもとに、2018年8月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。
2018年8月のマルウェア検出状況に関するレポート
【 https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1808.html 】
■トピック
・8月の概況:Web上で動作するマルウェアの検出が増加
・バンキングマルウェア感染を狙う「IQYファイル」を用いたばらまき型攻撃
・Outlookユーザーを狙うバックドア
■8月の概況
8月に検出されたマルウェアでは、ファイル形式がJS(JavaScript)とHTMLのものが上位を占めました。これらの検出数を7月と比較した結果は、以下のとおりです。
ファイル形式別の国内マルウェア検出数
※2018年3月の全検出数を100%として比較
上図からわかるように、ファイル形式がJSまたはHTML以外のマルウェアは減少している一方で、ファイル形式がJSまたはHTMLのマルウェアは共に大きく増加し、全体の検出数を押し上げています。
これらのマルウェアは、Web上で動作するものが大半です。そのため、Windowsだけではなく、他のOSを搭載したPCやスマートフォンなど、Webブラウザーを搭載しているあらゆるプラットフォームが攻撃の対象となります。
■バンキングマルウェア感染を狙う「IQYファイル」を用いたばらまき型メール攻撃
8月は、バンキングマルウェアUrsnifに感染させようとする、新たなばらまき型メール攻撃が観測されました。この攻撃は、一般的にあまり使用されない「.iqy」という拡張子のファイルを用いていることが特徴です。
拡張子「.iqy」ファイル(Webクエリファイル)はExcelのWebクエリ機能(※1)で用いられるアクセス先URLを記載したファイルで、今回の攻撃ではメールの添付ファイルとして拡散されました。
※1 Webクエリ機能:Web上のデータをダウンロードして表計算に利用する機能
Webクエリファイルが添付されたメール
メールの件名は、「写真添付」「写真送付の件」「ご確認ください」「お世話になります」といったものが確認されています。
このばらまき型メール攻撃は8月6日に第一波、8月8日に第二波が確認されています。いずれも数十~数百万通規模で拡散されたとみられ、各セキュリティベンダーなどから注意喚起が出されているほか、多くのニュースメディアでも取り上げられました。国外では、Necursボットネットを利用してFlawedAmmyyと呼ばれるRAT(遠隔操作ツール)に感染させようとする同様の攻撃が5月に確認されています。
マルウェアレポートでは、攻撃手法と対策について解説していますので、ご覧ください。
■Outlookユーザーを狙うバックドア
ESETは、Turla Outlook Backdoorと呼ばれるマルウェアを解析し、8月にその詳細をホワイトペーパー(※2)で報告しました。
※2 https://www.welivesecurity.com/wp-content/uploads/2018/08/Eset-Turla-Outlook-Backdoor.pdf
このマルウェアは、Outlookユーザーを狙ったバックドアです。サイバースパイ集団のTurlaによって作成されたと考えられており、2009年に確認されて以降、継続的にアップデートされています。実際に被害も発生しており、ドイツ外務省がこのバックドアに感染し、機密情報が搾取された可能性が示唆されています。
近年のTurla Outlook Backdoorの大きな特徴は、従来とは異なる手法で感染端末を制御することです。
バックドアの感染端末に対する制御は、コマンド&コントロールサーバー(以下C&Cサーバー)を介して行われるものが一般的です。一方、Turla Outlook Backdoorは、C&Cサーバーを介さなくても、感染端末を制御することが可能です。感染端末は、攻撃者から送信されたメールに添付されているPDFファイルによって制御されます。
メールに添付されたPDFファイルによって制御される感染端末
マルウェアレポートでは、感染から、感染端末が制御されるまでの流れについて解説していますので、ご覧ください。
ご紹介したように、今月はバンキングマルウェア感染を狙う新たな攻撃が確認され、Outlookユーザーを狙ったバックドアの解析報告がありました。常に最新の脅威情報をキャッチアップし、対策を実施していくことが重要です。
■マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、インターネットをより安全に活用するために、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。
マルウェア情報局
【 https://eset-info.canon-its.jp/malware_info/ 】
※ESETは、ESET, spol. s r.o.の商標です。Windows、Excelは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。
**********************************
●報道関係者のお問い合わせ先:
キヤノンITソリューションズ株式会社
企画本部 事業推進部 コミュニケーション推進課
03-6701-3603(直通)
●一般の方のお問い合わせ先 :
キヤノンITソリューションズ株式会社
サポートセンター 050-3786-2528(直通)
**********************************
