「ハードディスクを暗号化して身代金を要求する暗号化型ランサムウェアをダウンロードさせるための不正なメールが大量にばらまかれた。また、インターネットバンキングの認証情報を盗むトロイの木馬については、クリックさせるためにメール文面の日本語が短期間でこなれてきた」。キヤノンITソリューションズ(キヤノンITS)でマルウェアラボ推進課長を務める石川堤一氏は、直近の国内のマルウェアの状況をこう説明する。
スロバキアのESETが開発したエンドポイント型の総合セキュリティソフトを国内で販売しているキヤノンITSは8月8日、2016年上期(1~6月)の国内マルウェア動向レポートの内容を説明。同レポートは、日本国内のESETユーザーから収集したマルウェアの検出データを分析したものだ。
レポートによると、1~6月に検出された全種類のマルウェアの約93%は、上位10位までのマルウェアで占められている(図1)。上位は、ランサムウェアなどのマルウェア本体をダウンロードさせるダウンローダプログラムと、情報搾取を狙ったトロイの木馬が目立つ結果となった。いずれも、マルウェアの感染経路としてメールを利用している。
2016年に入り、ランサムウェアとトロイの木馬という2つの大きな攻撃手法のそれぞれで大きな変化が起こっている。
図1:1~6月に国内で検出したマルウェアの上位10個
キヤノンITS マルウェアラボ推進課長 石川堤一氏
マルウェアのダウンローダはJavaScriptが主流に
ランサムウェアでは、同社が2月に発見した「Locky」が身代金の要求画面を日本語で表示することに石川氏は驚いたという。「Lockyを2月に発見して間もなく、複数の国から母国言語で身代金要求文書が表示されるという報告を聞き、用意周到に準備されていたことが衝撃だった」(石川氏)
ランサムウェアのもう1つの傾向は、ランサムウェア本体をダウンロードさせるためのダウンローダが生産性の高いJavaScriptによって量産化されていること。ダウンローダに使われるスクリプト言語は、Officeマクロ(VBAスクリプト)が23.9%で、残りの76.1%はJavaScriptが占める。「3月以降、“Nemucod”と呼ぶJavaScriptのダウンローダが急増した」(石川氏)
Officeマクロの場合は、メールに添付されているOffice文書ファイルを開くことで、文書ファイルに組み込まれたマクロが発動する。一方、JavaScriptはJavaScriptファイル(*.js)をZIPアーカイブしたファイルをそのままメールに添付する。「Officeマクロは作成が難しく、動作検証も必要になる。一方、JavaScriptなら簡単に作れるので量産してばら撒くことができる」(石川氏)
JavaScript型のダウンローダの代表格がNemucodで、「ランサムウェアが有名になった立役者」(石川氏)と言える。国内におけるNemucodの検出数は1万の桁に達する。「あまりにもNemucodの検出量が多かったので、3月31日付のウイルス定義ファイルからは新たな定義名でNemucodを検知するようにした」(石川氏)
マルウェア添付メールの日本語がこなれてきた
ランサムウェアと並んで1~6月に目立った攻撃がトロイの木馬だ。特に、インターネットバンキングの認証情報を盗んだり不正に送金したりする情報搾取型のマルウェアが目立ち、中でも「Rovnix」と「Bebloh」という2つのマルウェアが多くを占めている。これらのマルウェアに感染させるために送信するメールは配送業者を装ったものが多い。
Rovnixでは一般に、添付ファイルを開くとダウンローダが動き、配送業者の偽りの伝票画面を表示しながら、Rovnix本体をダウンロードする。一方のBeblohは、マルウェア本体を「*.txt.exe」のような二重拡張子でメールに添付するケースが多いという。
RovnixとBeblohの最大の特徴は、ダウンローダやマルウェア本体をクリックさせるためにメール文面の日本語がこなれていること。「2016年になってから短期間で日本語の質が向上した。実際の業者のメール文面をコピーして使ったり、実在のアドレスを差出人のメールアドレスとして使ったりもしている」(石川氏)
現在ではRovnixの代わりにBeblohの利用が増えているが、Beblohではメール本文の初めに「いつもお世話になっております」という一文を入れたり、本文の末尾に「よろしくお願いします」という一文を入れるなど、日本人がよく使う定型表現を使って自然なメールを装っているという。
