ニュース

国内でマイニングマルウェアが爆発的流行、1月は「CoinMiner」の検出数がトップ

国内マルウェア検出数の種類別割合(2018年1月

 キヤノンITソリューションズ株式会社(キヤノンITS)が公開した1月の日本国内マルウェア検出レポートによれば、1月はJavaScript形式のマイニングマルウェア「CoinMiner」(16.5%)が月間検出数トップだった。レポートは、同社のウイルス対策ソフト「ESETセキュリティソフトウェアシリーズ」で1月1~31日に検出されたデータをもとに分析したもの。

 CoinMinerは、感染したPCのCPUなどの計算処理能力を利用して仮想通貨をマイニングするもので、国内では1月26日前後に最も多く検出された。1月には国内だけでなく、世界全体の統計でも最も多く検出されているという。

CoinMinerの国内検出数推移(2017年12月15日~2018年1月31日)
世界のマルウェア検出数の種類別割合(2018年1月)

 検出されたCoinMinerのうち大多数のスクリプトが「Coinhive」をベースとしている。Coinhiveは、閲覧者に仮想通貨「Monero」を採掘させてウェブサイトの運営者が広告の代わりに収益を得るためのサービスだが、これが悪用されてサイトへ不正に埋め込まれる事例が確認されている。中には、検出を逃れるためにJavaScriptライブラリのjQueryに偽装しているものや、難読化されている場合もあるそうだ。

ユーザーに無断で仮想通貨を採掘させる「Cryptojacking」の例
難読化されたマイニングスクリプト(ESET検出名「JS/CoinMiner.B」)(左)と、左のスクリプトの難読化を解除した状態(ESET検出名「JS/CoinMiner.A」)(右)

 Moneroについては、第三者が取引の履歴を確認できないため、従来の「Bitcoin」に代わってランサムウェアの支払いに使われる例も確認されているという。

 そのほか、国内で多く検出されたマルウェアには、「VBS/TrojanDownloader.Agent」(13.60%)、「HTML/FakeAlert」(9.90%)、「HTML/ScrInject」(4.50%)、「JS/Redirector」(4.20%)、「VBA/TrojanDownloader.Agent」(4.00%)、「JS/TrojanDownloader.Agent」(1.60%)、「Win32/FusionCore」(1.50%)、「Win32/RiskWare.PEMalform」(1.50%)、「Win32/KingSoft」(1.40%)などがある。

 このうち、メールの添付ファイルから検出される主なマルウェア4種(「VBA/TrojanDownloader.Agent」「VBS/TrojanDownloader.Agent」「JS/TrojanDownloader.Nemucod」「LNK/TrojanDownloader.Agent」)は、2017年12月と比較すると検出数が5分の1以下へ激減。2017年に猛威を振るったメールを経由した攻撃は減少する一方で、2018年1月はウェブサイト上の脅威が拡大する傾向にある。

代表的なメール経由のマルウェアの国内検出数推移