サイバー犯罪者が既存サービスを悪用　「マイニングマルウェア」が急増する背景

キヤノンITソリューションズによる「マルウェアレポート」

司会者：たいへんお待たせいたしました。本日はお忙しい中、そして非常に暑いところ、弊社のメディア情報交換会にご参加いただきまして、誠にありがとうございます。さて、弊社はウイルス対策ソフト「ESET」をはじめ、メールセキュリティ対策やサイバー攻撃対策など、総合セキュリティベンダーとしてさまざまなソリューションを展開しております。

キヤノンマーケティングジャパングループとしましても、独自成長領域として、ITソリューションセグメントにとくに力を入れておりまして、なかでもセキュリティ領域には期待をしているところでございます。そのなかで、今回の「メディア情報交換会」を開催させていただく運びとなりました。

それではまず、ITインフラセキュリティ事業部長の近藤よりご挨拶させていただきます。よろしくお願いします。

近藤伸也氏（以下、近藤）：キヤノンITSの近藤です。よろしくお願いします。まず、お忙しいなか、お集まりいただきまして、本当にありがとうございます。

メディア情報交換会は、今回で第3回目になります。毎年上半期にマルウェアレポートをみなさんと共有させていただき、双方向のコミュニケーションができればと思っています。

お陰様で、我々のこういった活動も徐々に認知度を上げてきております。今日はここにいる石川が説明をしますけれども、先般、ExcelのIQYオプションを使った攻撃の件について、NHKさんから取材を受けて、朝の『おはよう日本』で放送されました。そのあと、それを使った攻撃についてはあまりネットで騒がれていないので、たぶん少しは役に立ったのかなと思っています。

一方で、残念ながらある通信会社さんで、パスワードリスト攻撃で6,000人分ぐらいの不正ログインがあったという話がありまして、まだまだ使い古されたそういう攻撃手法（の情報）が一般の方々まで届いていないんだなと感じております。

そういったことに関しては、ここにいらっしゃるメディアのみなさんの力を借りないと、なかなかそこまで伝わっていかないなと。また、そういった（情報発信という）こともきちっとやっていかなきゃいけないなと、我々もあらためて思った次第です。

今後ともセキュリティベンダーの一翼として、しっかりとこういった活動を続けてまいりたいと思います。今日はよろしくお願いします。

マルウェア全体の検出数は減少傾向

司会者：ありがとうございます。さて、本日は「2018年上半期マルウェア検出統計」、そして「仮想通貨を狙う脅威」「インターネットバンキングを狙う脅威」「Windowsプロトコル SMBの脆弱性を悪用する攻撃」「サイバー攻撃のためのサービス“Crime as a Service”」、この5つについて、マルウェアラボシニアセキュリティリサーチャーの石川堤一より、説明いたします。それでは、石川さん、よろしくお願いいたします。

石川堤一氏（以下、石川）：みなさん、こんにちは。キヤノンITソリューションズのマルウェアラボのマネージャーとシニアセキュリティリサーチャーを担当させていただいております、石川と申します。

今年で3回目になりますけれども、「上半期のマルウェアレポート」と題しまして、私から5つのテーマでご報告をさせていただきます。今回私から説明させていただく内容は、お手元のマルウェアレポートの中に解説として載せておりますので、この資料をベースにご説明させていただきます。それではさっそく、一番上の「2018年上半期マルウェア検出統計」についてご説明いたします。

弊社はESET製品を取り扱って15年目になりますけれども、その中で、国内で利用されているESET製品をご利用中のユーザーさんの環境でマルウェアを検出した統計を随時取っております。その上半期の推移の中で一定の数字が見えてまいりましたので、ご説明したいと思います。

まず、こちらのデータは、今年の1月から6月までの国内でESET製品を利用されているユーザーさんの環境でマルウェアを検出した総数の割合を、グラフで示したものになります。

結果で見ますと、今年の上期は検出数としては減っています。なおかつ、すでに他社のベンダーさんなどの上期の状況のご報告が上がっているのを、各記者様でご覧いただいていると思いますが、攻撃数自身も減っているという話も出ています。そのため、それに合わせて検出自体も減ってきているのかなと（考えています）。

それに対して、マルウェア以外の攻撃なども増えてきているという現状がありますので、ここはあくまで、エンドポイント領域のマルウェアの検出は減っていると捉えていただければと思います。

マイニングマルウェアの検出が330パーセントに増加

実際には今年の上半期（のマルウェアの検出）は半分ぐらいに減ってはいますが、その中でも特筆すべき部分があります。ファイル形式で見た場合の傾向は、濃い青色で書かれている「VBS」を使ったマルウェアの攻撃が非常に減ってきていることが特徴的に現れています。これが全体的な総数としても減ったように見えているのかなと（思います）。

それに対して、ほかの形式は若干、それぞれ割合で減ってきている部分がありますので、全体的な攻撃そのものが、ばらまきメールなどが減ってきているという傾向が出てきているのかなと捉えております。

その中でも、全体としては減っていますけれども、とくに一番多いファイル形式の部分、この青色の「JS」と書かれているJavaScript形式は、相変わらずケースとしては多い傾向にありますので、その内訳を次の絵を中心に説明しております。

こちらにJavaScript形式に絞ったマルウェアの検出名と検出数の統計を表しております。

今年の上半期に限って特筆すべき部分は、みなさまもうすでにご承知かと思いますけれども、CoinMinerと呼ばれるマルウェアです。これは、マイニングマルウェアと呼ばれるタイプのもので、仮想通貨を採掘する目的のマルウェアになります。

これが昨年の下半期に比べて、数字としては極端な数字が出てしまっていますが、330パーセントと非常に多く検出されたという経緯があります。

2番目に多かったのが、この赤色で書かれているRedirectorと呼ばれるもの。これはあるWebサイトに、特定の悪意のあるサイトに誘導するための仕掛けをした例になります。

3番目の部分以降は、ダウンローダーと呼ばれるタイプも多いのですが、その中で特筆したいところは、昨年に比べて2パーセントまで減ったこちらのマルウェアです。これはなにかといいますと、2016年にLockyと呼ばれるランサムウェア（身代金要求型不正プログラム）が大流行したのですが、そのきっかけを作った、JS/Danger.ScriptAttachmentです。

こちらはJavaScriptファイルをメールでばらまいて、そのファイルを叩くとランサムウェアが完成して身代金要求画面が出てしまう、という手口でよく使われていたものですが、今年に入って、この手口を使った攻撃はもう激減しています。

これもあって、全体として（CoinMinerが） 増えてきている1つの要因でもあると見ております。（JS／Danger.ScriptAttachmentは）非常に減っておりますので、2016年に比べたらもう1パーセントを切るぐらいの数字になるんじゃないのかなと思います。そういう傾向でございました。

Excelを使った攻撃で狙われている日本・イタリア・ポーランド

その狙いは、メールにマルウェアを添付して、その先にある、次のマルウェアを仕掛ける入口となる攻撃をすることです。

まず全体としては、ばらまきメールでこれ（マルウェア）が組み込まれたExcelマクロのファイルを送りつける。それを開いてしまったユーザーがその先にある、Ursnifと呼ばれるバンキングマルウェア（別名DreamBot）に感染することを狙いとして、最初の突破口に使われている。それが非常に多く確認されています。

実際、このVBA/TrojanDownloaderの傾向は、国内の検出数の推移では、ピークを迎えたのが3月の15日と5月の15・16日。

この3日間に非常に多く検出され、多くばらまかれていたことが、弊社に限らず、各ベンダーさんからのレポートなどからも上がっています。ただ、この攻撃自身は今も続いており、8月においても同じような手口でメールのばらまきをきっかけに感染を狙っているケースは出てきています。そちらは後ほどバンキングトロジャンの説明の中でお話ししたいと思います。

ちなみに、こちらが実際にばらまかれたメールの見本です。

日本語のメールで送りつけて、添付ファイルはExcelの不正なマクロが組み込まれたもの。こちらが送りつけられるケースがありました。左側が3月15日。右側が5月15日です。それ以降も同じような内容で送りつけるケースが後を絶たないのが今の状況になります。こういった攻撃が、各国でどのぐらいの程度で検出されているかをデータとして取ってみました。

日本語に限った部分でいいますと、先ほどのような攻撃は、全体でいうと34パーセントで日本が一番多いです。それを追いかけるようにイタリアとポーランドがだいたい全体の2割で、この3ヶ国だけで半数以上を占めている。先ほどのようなExcelを使った攻撃は、主にこの3ヶ国を中心に狙われている傾向にあります。

国内外で多く検出されているその他のマルウェアの事例

こちらも参考までに国別の割合で取ってみたんですけれども、実はもう、ほぼそれぞれの国でまんべんなく検出していると。CoinMinerに関しては、あらゆる国で検出されているという結果です。そのため、かなり広い範囲でCoinMinerに遭遇されたユーザーさんがいるのではないかなと捉えています。

3番目に多かった部分は、ちょっと時間をいただきまして説明したいと思います。こちらはHTML/FakeAlertという呼び名のマルウェアです。これは、偽の警告を出すメッセージが含まれている、HTMLファイルに対する検出です。

実は、このHTML/FakeAlertは昨年も非常に多く出ていました。昨年以降の傾向でいいますと、スマートフォンを導入しているモバイル環境でも、偽の警告画面が出るような状況になっています。

そのときに私からお話しさせていただいたのは、あるまとめサイトなどに載っている広告をきっかけに偽の画面に誘導される（という事例です）。偽の画面に誘導されると「あなたのスマートフォンなりPCはウイルスに感染していますよ」という嘘のメッセージが出てくる。

「退治をしたかったら、こちらのソフトをダウンロードしてください」「サポートセンターに連絡してください」という案内が出てくる仕掛けになっています。その先は高額な請求をされるサポートだったり、まったく機能しないソフトを買わされるケースもあります。

こちらは、日本では全体の11パーセントを検出している状況です。

一番多いのは、全体の3割を占めているスペイン。スペインではかなりの確率でこのメッセージに遭遇するユーザーさんが多くいらっしゃいます。次いでアメリカ、日本という状況になっています。

高額請求をされる「詐欺サイト」の警告画面

書かれている内容はだいたい一緒です。「あなたのマシンになにか異常があります」「ウイルスに感染しています」。そういうものが出てきて、「こちらに電話をかけてください」といったものが書いてあります。電話したあとは、高額な料金を請求されてしまう。

参考までに拡大したものを順にお送りします。こちらが日本ですね。

これはもう2年ぐらい前からこのような構成で作られていて、中にはこれを表示している間に日本語の音声で説明するものも出てきております。（スライドを指して）実際にここに連絡先が書いてあるという状況ですね。

英語に関してはこんな感じです。もう画面全体を覆うかたちで「BSODが起こっている」と。「マシンを直したかったら連絡しなさい」といった偽の警告画面です。

次に多いのはドイツ語ですね。これはドイツ語で紹介していますが、サイトとしてはローカライズした日本語版もあります。ここで使っている画像が全部日本語になっておりまして、その連絡先に実際に問い合わせると、片言の日本語でしゃべる人が対応する仕組みになっています。

実際、日本でも国民消費者センターに注意喚起としてあがっている例でもあります。あとIPAさんなどでも注意喚起として、2年くらい前から「このページに対してなにも対応しないように」という案内が出ていますが、いまだにこれが出ています。

あと、最も多いスペインはこちらです。こちらも先ほどの英語と同じような感じで、全体の画面を出して、ここに嘘のダンプリストを出して、「こういう問題があるのですぐに電話しなさい」という書き方をしています。

こうした偽の警告画面が出るケースが、非常に各国で多く出ています。全体のサマリーとして、上位3種類のマルウェアに関してはこういう傾向となりました。

仮想通貨に関わるリスクは拭えていない

上半期に発生した主な仮想通貨盗難事件を今一度洗い出して見ると、それぞれの月でいろいろなことが起こっていたことがおわかりいただけるかと思います。

日本に関しては、コインチェックさんの事件が年初にありましたので、そちらの印象のほうが強いかと思うのですが、その後も非常に高額の被害が各国の仮想通貨の取引所で発生していました。もちろん、これより少ない被害もあちこちで起こっているのが今の状況ですので、まだまだ仮想通貨に関わるリスクは拭えていないのが現状です。

コインチェックなどをはじめとして、こうした盗難事件でどういった流れで、結局使途不明な状況になってしまっているのかということですが、一番大きな影響を与えているのは、このダークウェブを使ったもの。

例えばある正規の交換所からビットコインを盗み出しました。普通に正規で盗み出した場合でしたら、ブロックチェーンで追いかければ今どこにいるのかがすぐにわかるんですけれども、これがダークウェブに入った途端、もうわからなくなる。ほかの通貨に替えると、もうそれから先はわからないということになります。

コインチェックの場合にも、結局はダークウェブから先がわからなくなった状況になっているかと思いますが、実際にはこの手口で違う通貨に変換されて、その先がどういう結果かわからなくなってしまった、というのが現状です。

もう一つお伝えしなければいけないのが、交換所に対する盗難被害に加えて、どれだけその仮想通貨が採掘されているか。これは、マルウェアに関わる大きな事象として、今年始めからいろんな話題などがあがったかと思います。

「Coinhive」のサービスを悪用して攻撃

この9割の部分について実際に中身を開けてみますと、難読化されたコードがあり、なにが書いてあるのかわかりません。我々の解析スタッフのほうでこの中身を一応解読してコード化したものが右側になります。実際に動いているのは、この中身のコードが動いているということです。

それを当たっていくと、実はCoinhiveを悪用している。Coinhiveは、実は匿名性の高い採掘サービスと広告に代わる新規サービスを提供している会社ですが、それがこういうかたちで提供されて悪用されているという現状になります。