Office数式エディタの脆弱性を突く攻撃が日本に集中、偽「Windows Movie Maker」の検出も世界で増加

　キヤノンITソリューションズ株式会社（キヤノンITS）は、2017年11月のマルウェア検出状況に関するレポートの調査結果を公開した。同社のウイルス対策ソフト「ESETセキュリティソフトウェアシリーズ」で11月1日～30日に検出されたデータをもとに分析したもの。

　11月から12月にかけて、Microsoft Office数式エディタに存在する脆弱性「CVE-2017-11882」を悪用した攻撃が確認された。同脆弱性への攻撃コードを含むWord文書がメールに添付され、バンキングマルウェア「Ursnif（アースニフ）」のダウンローダーとして使われた事例が確認されている。

攻撃コードを含むWord文書をメールに添付

　数式エディタは、Microsoft Office 2003以前のバージョンで数式を入力するために搭載されたソフトで、Microsoft Office 2007以降においても互換性を確保するために搭載されている。しかし、同ソフトは2000年以来一度もアップデートされていない。同脆弱性を悪用した攻撃が検出された国としては日本が圧倒的に多く、93.7％を占めている。

　修正プログラムはすでに公開されているが、すぐに適用できない場合は数式エディタを無効することで、攻撃を回避できるとしている。

脆弱性を含むeqnedt32.exe（数式エディタ）のプロパティ情報

「Win32/Exploit.CVE-2017-11882」の検出数の国別比率（11月）

個人情報を窃取する偽「Windows Movie Maker」

　11月上旬には、すでに配布が終了しているMicrosoft製の無料ビデオ編集ソフト「Windows Movie Maker」を改ざんした偽プログラムの検出が増加した。検出が急増した偽プログラム（ESET検出名「Win32/Hoax.MovieMaker」）は11月初めに検出が増加し、11月2日にはWin32/HoaxMovieMakerが世界で3番目に多く検出されたマルウェアとなった。

検出された「Win32/Hoax. MovieMaker」の推移（世界）

　偽のWindows Movie Makerを実行するとトライアルバージョンを装ったプログラムがインストールされ、起動時にフルバージョンを購入するように要求するメッセージと購入ボタンが表示される。また、住所や氏名、クレジットカード番号の入力も要求される。偽プログラムを配布するウェブサイトがGoogleやBingなどの検索サイトで上位に表示されたため、検出数が増加したと考えられる。

偽プログラムを購入するよう要求するメッセージ

検索サイトでの「Movie Maker」の検索結果表示

LNK形式のダウンローダーが最多、国内マルウェアの検出比率

　国内で最も多く検出されたマルウェアはLNK形式のダウンローダー「LNK/TrojanDownloader.Agent」（20％）で、Windowsで標準搭載されているcmd.exeやpowershell.exeを悪用し、別のマルウェアをダウンロードするもの。以下、「VBS/TrojanDownloader.Agent」（13％）、「HTML/FakeAlert」（9％）、「PowerShell/Agent」（7％）、「VBA/TrojanDownloader.Agent」（6％）、「PowerShell/TrojanDownloader.Agent」（3％）、「JS/Redirector」（3％）、「VBA/DDE」（2％）、「Suspicious」（2％）、「Win32/RiskWare.PEMalform」（2％）、「Win32/Exploit.CVE-2017-11882」（1％）と続く。

国内マルウェア検出数上位（2017年11月）

　キヤノンITSでは、これらの脅威への対策として、1)ウイルス対策ソフトのウイルス定義データベースを最新にアップデートする、2）OSのアップデートを行い、セキュリティパッチを適用する、3）Java、Adobe Flash Player、Adobe Readerなど各種アプリのアップデートを行う、4）データのバックアップを行う、5）ウイルス、マルウェアに関する最新のセキュリティ情報を把握すること―などを挙げている。