悪質アドウェアが国内で164％増加、中国サイバー攻撃集団「APT10」による政府への“スピアフィッシング”も

　キヤノンマーケティングジャパン株式会社が公開した「2018年 年間マルウェアレポート」によると、2018年に国内で検出された悪質なアドウェアの総数が、2017年調査時から164％増加していたことが分かった。

　悪質なアドウェアに感染した場合、デスクトップやウェブブラウザー上に不要なツールバーや広告を強制的に表示されたり、ウェブブラウザー起動時に表示されるホームページが不審なウェブサイトに変更されることがある。

ファイル形式別の国内アドウェア検出数の推移

アドウェアによってホームページが変更された事例

アドウェアによって追加されたツールバー

　2018年は偽の警告メッセージを表示して、セキュリティソフトのダウンロードを促してくるアドウェアが多く確認された。このアドウェア経由でインストールしたセキュリティソフトは、端末内に問題が存在しない場合でも警告を表示するのが特徴。問題を解消するためには、有料版の購入が必要だとして、誘導先のウェブサイトで個人情報やクレジットカード情報などを詐取する。

有料版へのアップグレードを要求する画面（左）と個人情報を入力する画面（右）

　アドウェアによる被害を防ぐ方法として、キヤノンマーケティングジャパン株式会社の石川堤一氏（エンドポイントセキュリティ企画本部エンドポイントセキュリティ技術開発部マルウェアラボ）は、ウェブサイト閲覧中に突如表示される偽の警告メッセージの内容を信じないこと、それらの広告で推奨されたソフトを安易にダウンロードしないこと、ローカル環境とウェブブラウザーのセキュリティ機能を有効することなどを挙げている。

キヤノンマーケティングジャパン株式会社の石川堤一氏（エンドポイントセキュリティ企画本部エンドポイントセキュリティ技術開発部マルウェアラボ）

上半期にコインマイナー、下半期にアドウェアが猛威を振るう

　国内で最も多く検出されたマルウェアはVBA/TrojanDownloader.Agentで、全体の12.1％を占めており、JS/Adware.Agentが9.6％、HTML/FakeAlertが6.3％と続く。ファイル形式別に見ると、国内ではJavaScript形式のマルウェアが最も多く検出されている。上半期にJS/CoinMinerが、下半期にJS/Adware.Agentがそれぞれ猛威を振るったことが主な要因となっている。

　世界全体では、JS/CoinMinerが全体の6.0％、JS/Adware.Agentが5.2％、HTML/ScrInjectが2.5％で上位を占めた。

日本国内におけるマルウェア検出の割合

　VBA/TrojanDownloader.Agentは、Microsoft Officeで利用されるVBA（Visual Basic for Applications）で作成されたダウンローダー型のマルウェア。ExcelやWordファイルとして、ばらまき型メールに添付することで拡散され、月に1～2回程度の頻度で大量に拡散されていた。日本における検出数が世界各国と比較しても際立って多かった。

VBA/TrojanDownloader.Agent検出数上位10の国・地域

中国「APT10」による政府を標的にした攻撃を確認

　政府機関や学術機関などを標的にしたAPT（Advanced Persistent Threat）攻撃も例年どおり確認された。APT攻撃は、攻撃に使われるマルウェアやテクニックが高度である点や、攻撃活動が長期間にわたる点で通常のサイバー攻撃と区別されている。

　その中でも、中国を拠点とする「APT10」（別名：menuPass、Stone Panda、Red Apollo、CVNX、HOGFISH）というグループによる攻撃が目立った。2014年ごろから日本の組織を継続的に攻撃しているAPTグループになり、2018年は、特定の人物や企業を標的とする“スピアフィッシング”が多く確認された。この攻撃で送信されたメールには実在する人名や組織名が使用されており、内容も政治や外交に関するものが多かった。添付ファイルはWord形式のものが多く、VBAマクロを利用してマルウェアをダウンロードあるいは文書に格納された実行ファイルを展開する。

攻撃に使用されたとみられるWord文書

　APT10は、Windowsに標準で搭載されるcertutilやMicrosoftの提供するユーティリティツールPsExecのほか、MimikatzやPwDump、PowerSploitなどのハッキングツールや、ChChes、PlugX、Poisonlvy、RedLeaves、UPPERCUT（ANEL）などの遠隔操作ツールを使用することが確認されている。

　APT攻撃者は標的の企業を狙う際、まずは関連のあるセキュリティの弱い組織への侵入を試みることがある。そのため、「サプライチェーン全体のセキュリティを確保し、パートナー企業におけるセキュリティ対策状況を把握することが必要」だと石川は述べる。

　なお、IPAが2016年に実施した調査によると、日本企業が業務委託先のセキュリティ対策状況を把握している割合は33.5％にとどまっており、米国（同調査66.0％）や欧州（同調査54.2％）と比較しても低い結果になった。

　2018年 年間マルウェアレポートは、早期警戒システム「ESET LiveGrid」で検知したマルウェアを分析したもの。集計期間は2018年1月1日～12月31日。