「よろしくお願いします」マルウェア添付メール文面巧妙化でより気付きにくく

日川佳三 2016年08月09日 13時04分

  • このエントリーをはてなブックマークに追加

 「ハードディスクを暗号化して身代金を要求する暗号化型ランサムウェアをダウンロードさせるための不正なメールが大量にばらまかれた。また、インターネットバンキングの認証情報を盗むトロイの木馬については、クリックさせるためにメール文面の日本語が短期間でこなれてきた」。キヤノンITソリューションズ(キヤノンITS)でマルウェアラボ推進課長を務める石川堤一氏は、直近の国内のマルウェアの状況をこう説明する。

 スロバキアのESETが開発したエンドポイント型の総合セキュリティソフトを国内で販売しているキヤノンITSは8月8日、2016年上期(1~6月)の国内マルウェア動向レポートの内容を説明。同レポートは、日本国内のESETユーザーから収集したマルウェアの検出データを分析したものだ。

 レポートによると、1~6月に検出された全種類のマルウェアの約93%は、上位10位までのマルウェアで占められている(図1)。上位は、ランサムウェアなどのマルウェア本体をダウンロードさせるダウンローダプログラムと、情報搾取を狙ったトロイの木馬が目立つ結果となった。いずれも、マルウェアの感染経路としてメールを利用している。

 2016年に入り、ランサムウェアとトロイの木馬という2つの大きな攻撃手法のそれぞれで大きな変化が起こっている。

図1:1~6月に国内で検出したマルウェアの上位10個
図1:1~6月に国内で検出したマルウェアの上位10個
キヤノンITS マルウェアラボ推進課長 石川堤一氏
キヤノンITS マルウェアラボ推進課長 石川堤一氏

マルウェアのダウンローダはJavaScriptが主流に

 ランサムウェアでは、同社が2月に発見した「Locky」が身代金の要求画面を日本語で表示することに石川氏は驚いたという。「Lockyを2月に発見して間もなく、複数の国から母国言語で身代金要求文書が表示されるという報告を聞き、用意周到に準備されていたことが衝撃だった」(石川氏)

 ランサムウェアのもう1つの傾向は、ランサムウェア本体をダウンロードさせるためのダウンローダが生産性の高いJavaScriptによって量産化されていること。ダウンローダに使われるスクリプト言語は、Officeマクロ(VBAスクリプト)が23.9%で、残りの76.1%はJavaScriptが占める。「3月以降、“Nemucod”と呼ぶJavaScriptのダウンローダが急増した」(石川氏)

 Officeマクロの場合は、メールに添付されているOffice文書ファイルを開くことで、文書ファイルに組み込まれたマクロが発動する。一方、JavaScriptはJavaScriptファイル(*.js)をZIPアーカイブしたファイルをそのままメールに添付する。「Officeマクロは作成が難しく、動作検証も必要になる。一方、JavaScriptなら簡単に作れるので量産してばら撒くことができる」(石川氏)

 JavaScript型のダウンローダの代表格がNemucodで、「ランサムウェアが有名になった立役者」(石川氏)と言える。国内におけるNemucodの検出数は1万の桁に達する。「あまりにもNemucodの検出量が多かったので、3月31日付のウイルス定義ファイルからは新たな定義名でNemucodを検知するようにした」(石川氏)

マルウェア添付メールの日本語がこなれてきた

 ランサムウェアと並んで1~6月に目立った攻撃がトロイの木馬だ。特に、インターネットバンキングの認証情報を盗んだり不正に送金したりする情報搾取型のマルウェアが目立ち、中でも「Rovnix」と「Bebloh」という2つのマルウェアが多くを占めている。これらのマルウェアに感染させるために送信するメールは配送業者を装ったものが多い。

 Rovnixでは一般に、添付ファイルを開くとダウンローダが動き、配送業者の偽りの伝票画面を表示しながら、Rovnix本体をダウンロードする。一方のBeblohは、マルウェア本体を「*.txt.exe」のような二重拡張子でメールに添付するケースが多いという。

 RovnixとBeblohの最大の特徴は、ダウンローダやマルウェア本体をクリックさせるためにメール文面の日本語がこなれていること。「2016年になってから短期間で日本語の質が向上した。実際の業者のメール文面をコピーして使ったり、実在のアドレスを差出人のメールアドレスとして使ったりもしている」(石川氏)

 現在ではRovnixの代わりにBeblohの利用が増えているが、Beblohではメール本文の初めに「いつもお世話になっております」という一文を入れたり、本文の末尾に「よろしくお願いします」という一文を入れるなど、日本人がよく使う定型表現を使って自然なメールを装っているという。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]