ニュース

銀行やクレカ情報を盗むマルウェア「Ursnif」の感染を狙う悪質メールが3月に拡散、コインマイナーは減少傾向に

 キヤノンITソリューションズ株式会社(キヤノンITS)が公開した3月の日本国内マルウェア検出レポートによれば、オンラインバンキングの認証情報窃取などを目的としたダウンローダー型マルウェアで、VBA機能を悪用する「VBA/TrojanDownloader.Agent」(22.5%)と、JavaScript形式の「JS/TrojanDownloader.Agent」(12.8%)が多く検出されたという。レポートは、同社のウイルス対策ソフト「ESETセキュリティソフトウェアシリーズ」で3月1~31日に検出されたデータをもとに分析したもの。

3月に検出数が増加した2種類のダウンローダー型マルウェア

 OfficeのVBA機能を悪用するダウンローダー型マルウェアは、サーバーから別のマルウェアをダウンロードするコードと、ダウンロードしたマルウェアを実行するコードが埋め込まれたExcelファイルが、請求書などを装った日本語のメールに直接添付されている。国内では2月以降に増加。3月15日に最も多く検出された。

 このExcelファイルを開きマクロの実行を有効化すると、インターネットバンキングサイトの認証情報やクレジットカード情報を窃取するマルウェア「Ursnif」に感染する。同マルウェアの感染を狙ったメール攻撃には、本文中にダウンローダーのURLを記載しているパターンもある。

メールに添付されたExcelファイル
Excelファイルに埋め込まれたVBAのコード

 Ursnifは主に、1)キーボードの入力内容、2)スクリーンショット、3)ウェブカメラの動画や音声、4)オンラインバンキングサイトやクレジットカードの会員サイト、ECサイト、仮想通貨取引サイトの認証情報(ID、パスワードなど)を窃取することが確認されている。

 Officeの標準設定では、ファイルを開いてもVBA実行前に警告が表示されるが、設定を変更している場合は、セキュリティの観点から元に戻すことが推奨されている。

個人情報を窃取する詐欺サイトも増加、コインマイナーは減少傾向に

 このほか、悪質な広告からのリダイレクトや、検索語のタイプミスを利用する「タイポスクワッティング」により、ユーザーをウェブページへ誘導し、偽のシステム警告画面を表示する詐欺サイトが多く検出されている。

 「Windowsセキュリティシステムが破損しています」と偽の警告メッセージを表示し、PC修復ツールと称したソフトをユーザーに購入させようとするが、購入ページでは個人情報を窃取される危険性がある。

偽のシステム警告画面

 この攻撃では、ウェブページを閉じることができないよう細工されており、警告画面の指示通りに「更新」をクリックすると、ソフトのダウンロードページに遷移する。このようなウェブページに遭遇した場合は、タスクマネージャーからウィンドウを閉じることで回避できるという。

PC修復ツールと称したソフトウェアのダウンロードページ

 なお、1月・2月に猛威を振るったJavaScript形式のマイニングスクリプト「コインマイナー」の検出数は減少している。仮想通貨の価格下落や、ウイルス対策製品のマイニングスクリプト対策が進んだことによる攻撃者の利益の減少が要因として推測されている。

 そのほか、国内で多く検出されたマルウェアには、「HTML/FakeAlert」(5.1%)、「Win32/RealNetworks」(4.2%)、「Suspicious」(3.7%)、「JS/Redirector」(3.3%)、「JS/Adware.Agent」(2.1%)、「HTML/IFrame」(1.5%)、「Win32/Toolbar.MyWebSearch」(1.5%)などがある。

コインマイナーの国内検出数推移(1月~3月)