9月は382件のDDoS攻撃を観測、「パスワード付きZIPファイル」で検知回避を狙う「Emotet」も～IIJ調査

　株式会社インターネットイニシアティブ（IIJ）は、9月における国内のセキュリティ動向をまとめたレポートを、同社のセキュリティ情報サイト「wizSafe Security Signal」にて公開した。

DDoS攻撃は1日あたり12.73件、最大規模の攻撃で11.21Gbpsの通信量が発生

　9月に検出したDDoS攻撃の件数は382件で、平均すると1日あたり12.73件。最も大規模な攻撃では、114万ppsのパケットによって11.21Gbpsの通信量が発生していた。この攻撃は主にDNSやLDAPなど複数のプロトコルを用いたUDP Amplification攻撃だった。

DDoS攻撃の検出件数（2020年9月）

8月と同一のマルウェア配布サーバーを用いた攻撃を確認

　IIJマネージドセキュリティサービスでは、これまでの傾向と同様、Netis製およびNetcore製ルーターの脆弱性を狙った攻撃を最も多く観測しており、全体の46.52％を占めた。検出した通信の大半は、8月に観測した同一のマルウェア配布サーバーからスクリプトをダウンロードして実行を試みるもので、感染活動が8月21日から9月20日まで継続していたことを確認している。

　2番目には「Attempt to Read Password File」も多く観測された。検出した通信は8月と同様、/etc/passwdなどのパスワードファイルの読み取りが大半を占めている。

攻撃種別トップ10の割合

IoTマルウェア「Mozi」の感染活動が活発化

　Wget Command Injection Vulnerabilityで検出した攻撃内容には8月から変化が見られ、大半は「Mozi」の感染活動を検出したという。

　Moziは、ルーター、NVR（ネットビデオレコーダー）、DVR（デジタルビデオレコーダー）の機器に存在するリモートコード実行の脆弱性を用いて感染を拡大させるマルウェア。2019年頃から感染規模を拡大する活動が報告されており、特に2020年9月11日頃から感染活動の活発化を確認しているという。

　また、9月1日からWordPressのプラグインである「File Manager」の脆弱性を悪用した攻撃を観測している。

　既にPoCが公開されており、脆弱性を悪用されると遠隔で任意のファイルをアップロードされる可能性がある。なお、この脆弱性を悪用してPHPファイルをアップロードする試みも確認しており、攻撃者はアップロードしたPHPコードを利用して、ウェブサーバー上で任意のコードを実行する目的があると考えられる。JPCERT/CCからも注意喚起がされており、脆弱性が修正されたバージョン以降に更新するよう呼び掛けている。

「パスワード付きZIPファイル」で検出を潜り抜ける「Emotet」も

　ウェブアクセス時に検出したマルウェア種別の割合は、「Trojan-Banker.Win32.Emotet」が最も多く、全体の75.47％だった。この検出名で検出したファイルは全て「Emotet」であることを確認している。なお、Emotetは情報窃取、感染拡大を目的としたメールの送信や、別のマルウェアのダウンロードを行うマルウェアになる。

Webアクセス時に検出したマルウェア種別の割合

　今回多く確認されたTrojan-Banker.Win32.Emotetは、メールに添付されたMicrosoft Word 97-2003（doc）形式のファイルを開いてマクロを実行すると感染する。同ファイルをダウンロードするURLをメール本文や文書ファイルに記載したものも確認されている。この検体は、今月に入ってから検出数が過去にないほど増えたという。

　これまで、メール配送経路においてセキュリティ製品に検知された場合、不審なマクロをなどを含むdocファイルはユーザーの端末まで到達しないケースがあった。しかし、docファイルをパスワード付きZIPファイルに圧縮して送付することで、セキュリティ検出を回避する新たな手法が9月2日にIPAにより報告された。

　パスワード付きZIPファイルはパスワードがないと内容が確認できず、基本的にはネットワーク経路上のセキュリティ製品による内容の確認が不可能となっている。そのため、多くのユーザーがメールを受信し、ファイルを開き、マルウェアをダウンロードしてしまった可能性があるとしている。加えて、日本国内の企業ではファイルのやり取りにパスワード付きZIPファイルが用いられることも多く見られるため、パスワード付きZIPファイルを疑わずに開いてしまう可能性が指摘されている。

　同検体はIPAから情報公開があった9月2日から検出されており、同月3日に全体の70％以上が集中している。

Trojan-Banker.Win32.Emotetの検知割合

　セキュリティ製品で検出できない恐れがあるパスワード付きZIPファイルを添付したEmotetのメールだが、EmotetのダウンロードにはWord形式ファイルのVisual Basic for Applications（VBA）マクロを用いるものが多いため、対策手段の1つとしてVBAマクロを実行させないことを挙げている。

　2番目に検出の割合が高かった「Trojan-Downloader.JS.Iframe」は、今年6月と同様に改ざんされた正規サイトへのアクセス時に広告サイトなどへリダイレクトするJavaScriptを検出している。

Emotetを感染させるファイルのメール内検出割合が「99.5％」

　メール経由の攻撃では、8月から「Trojan.MSOffice.SAgent」を最も多く観測していたが、検出数は10倍以上に増加し、全体の99.52％を占めた。

メール受信時に検出したマルウェア種別の割合

　検出された添付ファイルの大半は、EmotetをダウンロードするMicrosoft Word 97-2003（doc）形式だと確認されている。検出したメールの82.94％は日本時間の9時台から18時台に観測され、国内企業の標準的な勤務時間帯に合わせてメールが送信されているといえる。

　次点では、「Trojan-Downloader.MSWord.Agent」を多く観測している。添付ファイルの大半は、Microsoft Officeの数式エディタの脆弱性を悪用するMicrosoft Word 2007（docx）形式のファイルであることを確認している。

Trojan.MSOffice.SAgentを除く、メール受信時に検出したマルウェア種別の割合

　IIJが検出した、件名が日本語で脅威を含むメールのほとんどでTrojan.MSOffice.SAgentを検出しており、9月に入ってから新たに使用されるようになった件名、添付ファイル名を多数観測している。件名には、「在宅勤務」や「風邪」といった現在の社会情勢に関連したもの、メールの返信や転送を装う「RE:」「FW:」を含むものなども多く確認しているという。