VBAを悪用したマルウェア付きメールが6月から急増、請求書を装ってマクロ型不正プログラムを実行

　キヤノンITソリューションズ株式会社（キヤノンITS）は6日、日本国内のマルウェア検出状況に関するレポートを公開した。同社のウイルス対策ソフト「ESETセキュリティソフトウェアシリーズ」で7月1～31日に検出されたデータをもとに分析したもの。

　マルウェアの中で多く検出されたのは「VBA/TrojanDownloader.Agent」（29％）がトップで、2位が「JS/Danger.ScriptAttachment」（16％）。いずれも悪質なマルウェアをダウンロードするダウンローダー型で主にメールで拡散されるもの。中でもVBA（Visual Basic for Applications）を悪用したものが6月以降急増していることがわかった。

日本国内のマルウェア検出状況。上位10種の検出比率（2017年7月）

　5月以前に検出されたダウンローダー型マルウェアはJavaScript形式のものが大半を占めていたが、6月以降はVBAを使用したOfficeドキュメント形式のものが急増した。キヤノンITSでは、これはJavaScript形式のダウンローダーに対するウイルス対策ソフトウェアの検知率が向上したために、別の手法が試されている可能性が考えられるとしている。

VBAのダウンローダーとJavaScriptのダウンローダーとの検出数比較（2017年・月別）

　Officeの標準設定ではVBAマクロが無効化され、コンテンツの実行前に警告が表示されるが、ユーザーによってはこうした警告を非表示に設定しているケースもあるため、意図せずにマクロが実行されている場合が多いと推測される。セキュリティの観点から、メールに添付されたファイルを容易に開かないことに加え、Officeのマクロを有効に設定せず、容易に実行を許可しないなどの対策を取る必要がある。

請求書を装ったマルウェア付きのメール

VBAマクロのコンテンツを有効化させるように誘導