Check Point社が2022年4月のマルウェアランキングを発表しました。
Emotet トップの座は依然として揺るがないものの、2位以下の顔ぶれには大きな変化が見られました。
4月 マルウェアトップ10
▼ モバイル端末の場合は横にスクロールしてご覧ください。| 順位 | 前月比 | マルウェア | 解説 |
|---|---|---|---|
| 1 | → | Emotet | トロイの木馬。 情報窃取の他、マルウェアの追加ダウンロードなどを行う。 |
| 2 | ↑ | Formbook | 情報窃取マルウェア。 ウェブブラウザなどから情報を窃取する。 |
| 3 | ↓ | Agent Tesla | 遠隔操作マルウェア。 モニターを遠隔で監視し、パスワードなどを窃取する。 |
| 4 | ↓ | XMRig | クリプトマイナー。 オープンソースのソフトウェアで、CPUを利用してマイニングを行う。 |
| 5 | ↓ | Glupteba | トロイの木馬。 情報窃取の他、感染マシンで仮想通貨のマイニングを行う。 |
| 6 | ↑ | Lokibot | 情報窃取マルウェア。 主にフィッシングメールによって拡散し、機密情報を窃取する。 |
| 7 | ↓ | Ramnit | トロイの木馬。 銀行口座の認証情報やFTPパスワードなどの情報を窃取する。 |
| 8 | ↓ | Phorpiex | ボットネット。 スパムメール経由で他のマルウェアを拡散する。 |
| 9 | ↓ | Mirai | ボットネット。 脆弱なIoTデバイスを追跡し、それらをボットに変える。 |
| 10 | ↑ | Remcos | バンキング型トロイの木馬。 多目的トロイの木馬の一種で、多様な攻撃を可能とする。 |
情報窃取マルウェア「Formbook」と「Lokibot」が急上昇
2022年4月のマルウェア検出数ランキングでは、先月に続き Emotet が1位を獲得しています。一方で、2位以下のマルウェア動向には大きな変化がありました。
「Formbook」と「Lokibot」、2つの情報窃取マルウェアが活発化し、ランキングに再登場したのです。「Formbook」はランキング外から2位に急上昇し、「Lokibot」は6位にランクインしています。「Lokibot」は、大規模なフィッシングメールキャンペーンで拡散しました。メールには、請求書を装ったxlsxファイルが添付されていました。
Emotet の被害減少、Microsoft Office 対策強化の成果か
先月に引き続き1位にランクインした Emotet ですが、その被害は10%から6%に減少しました。この減少傾向は、Microsoft 社による、特定のマクロを使用した攻撃への対策強化の成果ではないかと Check Point 社は述べています。
Microsoft Office マクロの有効化を促し、悪意のあるコードを実行させる手法が Emotet 拡散における常套手段です。このMicrosoft のマクロ機能を悪用したマルウェアからユーザーを守るため、Microsoft 社は、インターネット経由で取得したVBAマクロをデフォルトでブロックする方針を表明しました。(米現地時間 2022年2月7日)
元々「Microsoft Office」には「保護ビュー」と呼ばれる機能が搭載されており、ユーザーがボタンクリックで保護ビューを解除してはじめて、ファイルに含まれるマクロを実行する仕組みが採用されていました。同社が表明した方針においては、この仕組みがさらに強化され、メッセージバーに赤色で警告を表示し、ボタンをクリックするだけではコンテンツを有効化することはできなくなります。
ユーザーがマクロを含む信頼できないOfficeファイルをインターネットからダウンロードすると、メッセージバーに警告が表示されます。引用元:Microsoft
2022年4月12日にこの仕組みが適用されたバージョン 2203 がリリースされ、Windows 版 Office にこのデフォルト設定が適用されるようになりました。ボリューム ライセンス版の Office LTSC 2021、Office 2019、Office 2016、Office 2013 にも、順次適用予定とのことです。(2022年5月13日現在)
Emotet 拡散の新たな手法
Microsoft 側はマクロ攻撃への対策を強化する方策を打ち出しましたが、油断は禁物です。
Emotet 開発者側においても、早々に新たな手法を展開する試みが確認されています。米Proofpoint 社によると、Emotet 拡散を促す OneDrive の URL が記載されたフィッシングメールが確認されたのです。OneDrive の URL 経由で Microsoft Excel アドイン(XLL)ファイルを含む Zipファイルのダウンロードし、ファイルを実行すると、Emotet に感染する仕組みです。この OneDrive と XLLファイル を使用した新たな手法を利用した攻撃は、今後増える可能性が示唆されています。今後の Emotet 動向にも引き続き注意が必要です。
アプリケーションを最新の状態に保つことは、重要なセキュリティ対策の一つです。とはいえ、このような従来の対策のみでは、常に後追いの対策にならざるを得ません。
攻撃者側の新たな手法にも対処できるよう、高度なセキュリティ対策を導入するのもひとつの手段です。
宝情報では、Emotet や Lokibot、Formbook 対策に有効なセキュリティ製品を取り扱っています。
参照元
April 2022’s Most Wanted Malware: A Shake Up in the Index but Emotet is Still on Top
Helping users stay safe: Blocking internet macros by default in Office|Microsoft
Emotet is Back From ‘Spring Break’ With New Nasty Tricks