PDF開封によりマルウェア感染のリスクが増加　eset

多様な種類の「ばらまき型メール攻撃」が今年４月中に確認されていますが、esetのマルウェアラボ(https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1704.html)がこれらを研究及び集計し、検出されたマルウェアの上位10種とその割合が以下の通りです。

引用元:https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1704.html

このグラフにて赤字で表記されているマルウェア7種は、メールに添付されたファイルの開封による感染であるとのことです。

全体の14%を占めているPDF/TrojanDropper(グラフ緑)はマルウェアをPDFファイルへ潜伏させる手法です。

一方で、今年2月のマルウェア検知の状況においては、全体の65%以上がJavaScript言語を用いたマルウェアによって占められていましたが、4月はこのJavaScript言語を用いたマルウェアは23%へと減少しています。

このように、マルウェア感染に用いるファイル形式も変化が見られています。

引用元:https://eset-info.canon-its.jp/malware_info/malware_topics/detail/malware1704.html

平成29年4月の国内マルウェア検出上位５種

1位　Win32/Kryptik

情報搾取を目的とするトロイの木馬の要素を含むものが多く、フォレンジックを遅らせるためにマルウェア自らを難読化している場合が多いです。

Win32/Kryptikによる被害は、ゴールデンウィーク前の4月27日から28日にかけて国内で多発していました。

当該マルウェアは、写真送付や実在業者を装った日本語メールに添付されていたケースが多いとのことです。

2位　JS/Danger.ScriptAttachment

当該マルウェアはJavaScript言語を用いたもので、ダウンローダとしてランサムウェア等他のマルウェアへの感染を目的とします。

3位　 PDF/TrojanDropper

主に悪意のあるメールに添付されている、PDFファイルを用いたマルウェアで、このPDFを開封し感染するとさらに他のマルウェアへ誘導する機能を持ちます。

PDF/TrojanDropperの亜種には、感染するとランサムウェアをダウンロードする特性があるとのことです。

4位　Win32/Spy.Ursnif

正規の業者を装い日本語メールへ添付されていることが多く、また、キーロガーの機能を含む情報搾取型マルウェアの一つです。

5位　HTML/FakeAlert

メールを感染経路としないマルウェアで、特徴としてはブラウザにて「あなたの端末はウイルスに感染しています」等の利用者の不安を煽るような偽警告を表示し、金銭要求を行います。

主に無料と提唱される動画配信サービス・ソフトウェア・アプリのダウンロードのページに潜む脅威です。

対策

・利用しているウイルス定義データベースを常に最新版へアップデートをする。

・OSや各ソフトウェアのアップデートの実施により、パッチを適用する。

・データのバックアップをとる。

・パソコン等インターネットへの通信を可能とする機器にマルウェアが感染し、情報搾取や改ざん等のリスクが存在することを覚えておく。

関連リンク

マルウェア感染50の挙動

ランサムウェア感染における対応

ランサムウェア感染経路