セキュリティ対策の第一歩は、攻撃の実態を知ること

原田隆史氏:みなさまこんにちは。キヤノンマーケティングジャパン株式会社、マルウェアラボ、マルウェアアナリストの原田隆史と申します。本日はお越しいただき、誠にありがとうございます。本セミナーでは、2019年に日本国内で確認されたマルウェアの検出状況を分析した結果判明した、マルウェアの傾向を解説していきます。

セキュリティ対策を考えていく上で、どのような攻撃が起きているのかを把握しておくことはとても重要です。このセミナーで攻撃に使用されるマルウェアの傾向を理解していただき、今後対策を講じていく上で、なにか参考になるものがありましたら幸いです。

まず簡単に、私が所属しているキヤノンマーケティングジャパン、マルウェアラボの紹介をします。マルウェアラボの役割は、大きく分けて3つあります。1つ目は研究活動です。公的機関や、大学などの研究機関と連携して、サイバー攻撃やマルウェアの研究調査を行っています。2つ目は解析です。マルウェアの解析やアプリケーションの脆弱性調査などを行っています。3つ目は、情報発信活動です。研究調査や解析で得られた情報をもとに、論文やレポートを公開したり、学会やセミナーで講演活動を行っています。

先日、情報発信活動の1つとして、2019年上半期のマルウェアレポートを公開しました。本講演でお話しする内容についても触れておりますので、もしよろしければご覧ください。アクセスの方法は本講演の最後に紹介させていただきます。

2019年のマルウェアを分析してわかった2つの傾向

それでは本題に移ります。これからお見せするマルウェアの統計データは、ESET製品によって検出されたマルウェアの情報を分析したものになります。

キヤノンマーケティングジャパンはESETの国内総合販売代理店です。マルウェアラボではESETのラボと提携し、マルウェアの検出状況を共有しています。こちらは日本国内で検出されたマルウェアの検出総数の推移です。2018年上半期に日本で検出されたマルウェアの検出総数を基準として、2018年下半期、2019年上半期のものを示しています。

見ていただくとわかるようにマルウェアの検出数は、2018年上半期以降、増加し続けています。また、2019年上半期の検出数は2018年上半期のものと比較すると、16パーセント多く検出されました。そして、2019年上半期に日本国内で検出されたマルウェアを分析した結果、2つの傾向がありました。それがこちらです。

2019年の上半期に日本で検出されたマルウェアの傾向の1つ目は、メールを媒介とするダウンローダーが継続的に多数確認されているということ。そして、2つ目は、脆弱性を悪用するマルウェアが増加傾向にあるということです。1つずつ解説していきます。

メールを媒介とするダウンローダーが継続的に多数確認

ではまず1つ目、メールを媒介とするダウンローダーが継続的に多数確認されていることに関してです。

ダウンローダーとは、攻撃者が用意したサーバーと通信を行い、別のマルウェアをダウンロードして実行するマルウェアです。このダウンローダーというマルウェアは、日本で非常に多く検出されているマルウェアで、こちらは2019年上半期に日本国内で検出されたマルウェアの上位3つです。

もっとも多く検出されたマルウェアは「JS/Danger.ScriptAttachment」と呼ばれるものでした。そして、第2位が「JS/Adware.Agent」。第3位が「VBA/TrojanDownloader.Agent」でした。これら3つのマルウェアのうち、第1位と第3位のマルウェアがダウンローダーです。2019年上半期は日本国内で、ダウンローダーが非常に多く検出されていることがわかります。ここから、第1位と第3位のマルウェアについてそれぞれ解説を行っていきます。

2018年に国内でほとんど検出されなかったダウンローダーが、今年に入って爆発的に増加

ではまず最も検出数の多かった、「JS/Danger.ScriptAttachment」から解説をはじめます。このマルウェアは電子メールに添付された悪意のあるファイルをzip形式で圧縮したものです。メールに添付されているzipファイルを解凍すると、「JavaScript」で記述されたダウンローダーであるケースが多いです。このマルウェアは2019年上半期に最も多く検出されたマルウェアでしたが、実は2018年にはほとんど検出されていませんでした。

こちらのグラフは「JS/Danger.ScriptAttachment」の国内検出数の推移です。2018年上半期に、日本国内で検出された「JS/Danger.ScriptAttachment」の検出数を基準にし、100パーセントとすると、2019年上半期は4,357パーセントと、検出数が爆発的に増加していることがわかります。日本では検出数が大幅に増加していました。では、世界はどうなったのかといいますと、日本以外の国ではあまり検出されていません。

こちらは2019年上半期に検出された「JS/Danger.ScriptAttachment」の国別の割合です。74パーセントが日本で検出されており、2番目に多いポーランドと比較してみても、その差は非常に大きいです。以上のことから、このマルウェアは日本で集中的に観測されており、2019年上半期に主に日本に向けてこのマルウェアの感染を狙った攻撃があったことがうかがえます。ではその事例を紹介します。

日本の芸能人からLove you

このグラフは2019年の上半期に日本国内で検出されたJS/Danger.ScriptAttachmentの検出数を1日ごとにプロットしたものになります。

見ていただくとわかるように、検出数が多い時期とほとんど検出されていない時期があります。そして、このマルウェアは1月と2月に集中的に検出されていたことがわかります。ESET社ではこの1月と2月に検出された攻撃を「Love you malspam campaign」と呼んでいます。malspamとは、マルウェアスパムの略で、マルウェアの感染を狙ったスパムメールに対応します。「Love you malspam campaign」の「Love you」は、malspamの件名に由来します。

1月と2月の間に件名はさまざまなものに変化していましたが、一時期、「I Love you」ですとか、「This is my love letter to you」といった、loveとyouが含まれる時期があったことから、この「Love you malspam campaign」の「Love you」がつけられました。メールの件名には、このほかにも日本の芸能人の名前が使用されている時期もありました。このことからも、日本を対象にした攻撃であることがうかがえます。左側が「Love you malspam campaign」で実際に使用されたメールです。

件名には、日本の芸能人の名前が使用されており、女優の吉高由里子さんの名前が使用されています。少し余談にはなりますが、件名に使われた日本の芸能人の名前の一部をまとめてみました。例えば、現在活躍されている綾瀬はるかさんや橋本環奈さん、その他にも昭和から活躍されているような美空ひばりさんなど、幅広い世代の芸能人の名前が使用されていました。

また、男女の比率を比較してみると、女性の名前を使用するほうが多いということもわかりました。私個人の考えになりますが、このような名前のリストを攻撃者はどこから手に入れているのかというところにも興味があります。もしこのようなリストの出所をいち早く掴めれば、情報発信で対策を提示する際に、より具体的なものを提案できるかもしれないなと考えたりもしています。

では本題に戻りまして、こちらが添付ファイルで、これがJS/Danger.ScriptAttachmentになります。拡張子の部分を見ていただくとzipで圧縮されていることがわかります。このzipファイルを解凍し中身を確認してみると、JavaScriptで記述されているプログラムが確認されました。

そして後半部分には難読化が施されており、我々のようなマルウェア解析者による解析を妨害するような処理が施されていました。ここからさらに解析を進めると、このマルウェアはダウンローダーであることがわかりました。攻撃者が用意したサーバーと通信を行い、最終的にダウンロードされ実行されるマルウェアを右側にまとめています。

ファイルを暗号化し復号するための身代金を要求するランサムウェアである「GandCrab(ガンクラブ)」ですとか、暗号通貨をマイニングするコインマイナー、スパムボットの「Phorpiex(フォルピエックス)」、さらにダウンローダーをダウンロードするケースなど、さまざまなマルウェアがありますが、これらのマルウェアのうちどれか1つがダウンロードされ実行されます。

つまりこの事例をまとめますと、「Love you malspam campaign」はここに示したマルウェアを感染させるための攻撃で、その攻撃の第一段階として「JS/Danger.ScriptAttachment」を添付したメールが使用されたということになります。以上が本マルウェアに関する調査、解析の結果でした。