～自己拡散するバンキングマルウェアEmotetを国内で確認～

キヤノンマーケティングジャパングループのキヤノンITソリューションズ株式会社（本社：東京都品川区、代表取締役社長：足立 正親、以下キヤノンITS）は、2018年11月のマルウェア検出状況に関するレポートを公開しました。




■2018年11月のマルウェア検出状況に関するレポートをウェブで公開
キヤノンITSのマルウェアラボでは、国内で利用されているウイルス対策ソフト「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データをもとに、2018年11月のマルウェア検出状況を分析し、以下のウェブサイトにレポートを公開しました。

2018年11月のマルウェア検出状況に関するレポート
【 https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1811.html 】

■トピック
・11月の概況： Webページ閲覧中に自動的に実行される不正スクリプトが最多
・バンキングマルウェアEmotetを国内で確認
・インターネット広告収入を不正に得たサイバー犯罪グループが解体

■11月の概況
11月に最も多く検出されたマルウェアは、不正なスクリプトが埋め込まれたHTMLファイルの総称であるHTML/ScrInjectでした。HTML/ScrInjectは、単体のJavaScriptファイルであるJS/Redirector やJS/Adware.Agentなどと同様にWebページ閲覧中に自動的に実行されます。その結果、不正なWebサイトへのリダイレクト、マルウェアのダウンロード、不正広告の表示、Web閲覧情報の窃取などが行われるおそれがあります。

HTML/ScrInjectはWebサイト管理者によって置かれる場合もありますが、多くは攻撃者によってWebサイトが改ざんされ、置かれたものです。過去の事例では、正規のWebサイトが改ざんされてWebブラウザーの脆弱性を突いたドライブバイダウンロードが仕掛けられていました。その結果、脆弱性の残るWebブラウザーを利用している閲覧者にマルウェアが配布されていました（参考：ウイルスはどこから来るのか？急増するWeb改ざん事件（https://eset-info.canon-its.jp/malware_info/trend/detail/140626.html））

■バンキングマルウェアEmotetを国内で確認
バンキングマルウェアEmotetが、今年の夏頃から世界中で猛威を振るっています。感染するとインターネットバンキングサイト等のWebサービスにおける認証情報（ID、パスワードなど）を窃取され、不正送金やクレジットカードの不正利用の被害に遭う可能性があります。今回のEmotetメールの拡散は11月5日頃から活動が始まりました。メールの件名に英語やドイツ語が使われていることから、英語圏およびドイツ語圏のユーザーが主な標的と考えられます。日本国内においては11月29日頃に検出のピークを迎えています。

Emotetの主要な感染経路はメールです。メールにはEmotetのダウンローダーとして機能するWordファイルやPDFファイルが添付されています。メールの差出人は実在する組織を装っており、請求書や銀行口座の支払通知などを送付するとの名目で受信者がファイルを開くよう誘導します。PDFに記載されたURLからダウンロードしたファイルを実行（下図１.）、あるいはWordファイルのマクロを実行（下図２.）すると、Emotetに感染します。


　　　　　　　　　　　　　　　　　　　　Emotet感染までの流れ

マルウェアレポートでは、感染拡大の流れについても詳しく解説していますので、ご覧ください。

■インターネット広告収入を不正に得たサイバー犯罪グループが解体
11月27日にインターネット広告ビジネスの仕組みを悪用し、不正に広告収入を得た罪で、２つのサイバー犯罪グループが解体され、８名が逮捕されました。この逮捕には様々な企業が協力しており、ESET社は容疑者らが使用したマルウェアを解析し、技術提供を行いました。

サイバー犯罪者はより多くの収益を得るために、広告の表示回数を水増しさせようとします。広告の表示回数を水増しする一般的な方法としては、同一のIPアドレスから同一のWebサイトに何度もアクセスする方法がありますが、この方法ではネット広告代理店から不正が疑われます。今回の攻撃では、攻撃者は異なるIPアドレスからアクセスさせるために、不特定多数の端末にマルウェアを感染させ、Webサイトにアクセスするように感染端末を制御していました。この手法は、3ve（読み方：イブ）と呼ばれており、被害額は数百万ドル（数億円）、不正広告は1日に最大で30億回以上も表示されていました。

3veで使用されるマルウェアは２種類あり、どちらもアドウェアです。その2つのアドウェア、BoaxxeとKovterを用いた不正広告収入を得る手法について、マルウェアレポートで図解していますので、ご覧ください。

ご紹介したように、今月はバンキングマルウェアEmotetが国内で確認されたほか、インターネット広告収入を不正に得たサイバー犯罪グループが解体されました。常に最新の脅威情報をキャッチアップし、対策を実施していくことが重要です。

■マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
キヤノンITSでは、インターネットをより安全に活用するために、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

マルウェア情報局
【 https://eset-info.canon-its.jp/malware_info/ 】

※ESETは、ESET, spol. s r.o.の商標です。PowerShellは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。

**********************************
●報道関係者のお問い合わせ先：
キヤノンITソリューションズ株式会社
企画本部 事業推進部 コミュニケーション推進課
03-6701-3603（直通）

●一般の方のお問い合わせ先 ：
キヤノンITソリューションズ株式会社
サポートセンター
050-3786-2528（直通）
**********************************

企業プレスリリース詳細へ
PRTIMESトップへ