ニュース

VBAを悪用したマルウェア付きメールが6月から急増、請求書を装ってマクロ型不正プログラムを実行

 キヤノンITソリューションズ株式会社(キヤノンITS)は6日、日本国内のマルウェア検出状況に関するレポートを公開した。同社のウイルス対策ソフト「ESETセキュリティソフトウェアシリーズ」で7月1~31日に検出されたデータをもとに分析したもの。

 マルウェアの中で多く検出されたのは「VBA/TrojanDownloader.Agent」(29%)がトップで、2位が「JS/Danger.ScriptAttachment」(16%)。いずれも悪質なマルウェアをダウンロードするダウンローダー型で主にメールで拡散されるもの。中でもVBA(Visual Basic for Applications)を悪用したものが6月以降急増していることがわかった。

日本国内のマルウェア検出状況。上位10種の検出比率(2017年7月)

 5月以前に検出されたダウンローダー型マルウェアはJavaScript形式のものが大半を占めていたが、6月以降はVBAを使用したOfficeドキュメント形式のものが急増した。キヤノンITSでは、これはJavaScript形式のダウンローダーに対するウイルス対策ソフトウェアの検知率が向上したために、別の手法が試されている可能性が考えられるとしている。

VBAのダウンローダーとJavaScriptのダウンローダーとの検出数比較(2017年・月別)

 Officeの標準設定ではVBAマクロが無効化され、コンテンツの実行前に警告が表示されるが、ユーザーによってはこうした警告を非表示に設定しているケースもあるため、意図せずにマクロが実行されている場合が多いと推測される。セキュリティの観点から、メールに添付されたファイルを容易に開かないことに加え、Officeのマクロを有効に設定せず、容易に実行を許可しないなどの対策を取る必要がある。

請求書を装ったマルウェア付きのメール
VBAマクロのコンテンツを有効化させるように誘導